PT-2020-11252 · Nukeviet · Nukeviet
Hungnguyenmz
·
Publicado
2020-12-31
·
Atualizado
2021-06-22
·
CVE-2019-7725
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do NukeViet anteriores à 4.3.04
Descrição
O problema decorre da desserialização do cookie
nvloginhash, que não é confiável, no arquivo includes/core/is user.php. Isso é problemático porque o código depende do formato de serialização do PHP, o que representa um risco que poderia ser mitigado usando JSON em vez disso.Recomendações
Para versões anteriores à 4.3.04, atualize para a versão 4.3.04 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo
includes/core/is user.php ou desativar a desserialização do cookie nvloginhash até que um patch seja aplicado.Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nukeviet