CVE-2020-14933

SquirrelMail versão 1.4.22

O problema ocorre no arquivo compose.php, onde o valor $attachments de uma solicitação HTTP POST é passado para a função unserialize. Isso poderia potencialmente levar à injeção de objetos PHP. No entanto, o fornecedor contesta isso, alegando que duas condições necessárias para tal injeção não são atendidas: a existência de um método mágico do PHP, como wakeup ou destruct, e a declaração ou carregamento automático de classes relevantes para o ataque antes da chamada à função unserialize.

Para a versão 1.4.22 do SquirrelMail, considere desativar a função unserialize para o valor $attachments em compose.php como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao módulo compose.php para minimizar o risco de exploração. Evite usar dados inseridos pelo usuário no valor $attachments até que o problema seja resolvido.