CVE-2025-60641

Nome do Software Vulnerável e Versões Afetadas Vfront versão 0.99.52

Descrição O arquivo mexcel.php contém uma chamada vulnerável para unserialize(base64 decode($ POST['mexcel'])). O parâmetro $ POST['mexcel'] é uma entrada controlada pelo usuário que é decodificada de base64 e desserializada sem validação. Isso permite que um atacante injete objetos PHP arbitrários, potencialmente levando à Execução Remota de Código (RCE), Injeção de SQL, Path Traversal ou Negação de Serviço, dependendo das classes exploráveis. O parâmetro vulnerável é mexcel.

Recomendações Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida de contorno temporária, restrinja o acesso ao arquivo mexcel.php. Evite usar o parâmetro mexcel em requisições POST para o arquivo afetado.