CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-40044

Critical
Published: Translated: NVD NIST

Summary

Pachno 1.0.6 zawiera podatność na deserializację, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu poprzez wstrzykiwanie złośliwych obiektów serializowanych do plików cache. Atakujący mogą zapisywać ładunki obiektów PHP do plików cache o przewidywalnych nazwach, które są deserializowane podczas uruchamiania frameworka przed sprawdzeniem autoryzacji.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem. W konsekwencji, może to skutkować utratą danych lub naruszeniem bezpieczeństwa.

Recommendation

Zaleca się aktualizację do najnowszej wersji Pachno, aby usunąć tę podatność. Dodatkowo, należy ograniczyć dostęp do katalogu cache oraz monitorować pliki w celu wykrywania nieautoryzowanych zmian.

Original NVD description (English source)

Pachno 1.0.6 contains a deserialization vulnerability that allows unauthenticated attackers to execute arbitrary code by injecting malicious serialized objects into cache files. Attackers can write PHP object payloads to world-writable cache files with predictable names in the cache directory, which are unserialized during framework bootstrap before authentication checks occur.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS