Ali Maharramli

**Nome do software vulnerável e versões afetadas** Versões 26.0.00 e anteriores do Gibbon **Descrição** A vulnerabilidade permite que usuários remotos autenticados realizem ataques de deserialização PHP por meio do parâmetro `columnOrder` em uma solicitação POST para o endpoint da API “/modules/System%20Admin/import run.php&type=externalAssessment&step=4”. Isso pode levar a ataques de deserialização. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para as versões 26.0.00 e anteriores do Gibbon, restrinja o acesso ao módulo System Admin e considere aplicar a correção o mais rápido possível para mitigar o risco de exploração. Como solução alternativa temporária, considere restringir o uso do parâmetro `columnOrder` no endpoint da API afetado até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.