PT-2025-52346 · Unknown · To3K Twittodon
Solon Barroso Da Silva
·
Publicado
2025-12-18
·
Atualizado
2025-12-20
·
CVE-2025-63950
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do to3k Twittodon anteriores ao commit b1c58a7d1dc664b38deb486ca290779621342c0b
Descrição
Existe uma vulnerabilidade de desserialização insegura no script
download.php da aplicação to3k Twittodon. O parâmetro obj aceita dados codificados em base64 que são então passados para a função unserialize() sem a devida validação. Isso permite que um atacante remoto e não autenticado injete objetos PHP arbitrários, potencialmente causando uma negação de serviço.Recomendações
Versões anteriores ao commit b1c58a7d1dc664b38deb486ca290779621342c0b devem ser atualizadas. Como solução temporária, considere restringir o acesso ao script
download.php até que um patch esteja disponível. Certifique-se de que o parâmetro obj seja devidamente validado antes de ser passado para a função unserialize().Exploit
Correção
DoS
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
To3K Twittodon