PT-2025-39803 · Unknown · Pmticket Project-Management-Software
Allan Njuguna
·
Publicado
2025-09-29
·
Atualizado
2025-10-04
·
CVE-2025-11135
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
pmTicket Project-Management-Software versões anteriores a 2ef379da2075f4761a2c9029cf91d073474e7486
Descrição
Existe uma falha no pmTicket Project-Management-Software relacionada à desserialização de dados. O problema está localizado na função
loadLanguage dentro do arquivo classes/class.database.php, parte do componente Cookie Handler. A manipulação do argumento user id pode desencadear essa desserialização. O ataque pode ser realizado remotamente. O exploit está disponível publicamente. O software utiliza entrega contínua com lançamentos contínuos (rolling releases), e o fornecedor não respondeu às tentativas de divulgação antecipada.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Deserialization of Untrusted Data
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Pmticket Project-Management-Software