PT-2021-10259 · Facebook · Hhvm
Jjergus
·
Publicado
2021-03-11
·
Atualizado
2021-03-17
·
CVE-2020-1898
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do HHVM anteriores à 4.32.3
Versões do HHVM da 4.33.0 à 4.62.0
Descrição:
A função fb unserialize não impunha um limite de profundidade para a desserialização aninhada, permitindo que uma string criada de forma maliciosa causasse a recursão da desserialização e levasse ao esgotamento da pilha.
Recomendações:
Para versões do HHVM anteriores à 4.32.3, atualize para a versão 4.32.3 ou posterior.
Para versões do HHVM de 4.33.0 a 4.62.0, atualize para uma versão fora desse intervalo, pois essas versões estão afetadas.
Como solução temporária, considere restringir o uso da função
fb unserialize para minimizar o risco de exploração.Correção
Uncontrolled Recursion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hhvm