Katalog CVE

CVE-2025-34292

KrytyczneCVSS 9.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.53%

Percentyl 41 - wyżej niż 41% wszystkich znanych CVE

Streszczenie

Oprogramowanie Rox, używane przez BeWelcome, zawiera podatność na wstrzykiwanie obiektów PHP wynikającą z deserializacji niezaufanych danych. Parametr POST `formkit_memory_recovery` oraz ciasteczko `bwRemember` są przekazywane do funkcji unserialize(), co umożliwia atakującemu wykonanie dowolnego kodu lub zapisanie plików.

Ocena ryzyka

Udane wykorzystanie podatności może prowadzić do pełnego przejęcia serwisu BeWelcome, w tym kradzieży danych użytkowników, modyfikacji treści lub przejęcia kontroli nad infrastrukturą.

Rekomendacja

Należy natychmiast zastosować łatkę dostępną w commicie c60bf04 (z 2025-06-16) oraz zaktualizować oprogramowanie Rox do najnowszej wersji. Dodatkowo zaleca się unikanie deserializacji danych pochodzących od użytkownika.

Oryginalny opis (angielski, źródło NVD)

Rox, the software running BeWelcome, contains a PHP object injection vulnerability resulting from deserialization of untrusted data. User-controlled input is passed to PHP's unserialize(): the POST parameter `formkit_memory_recovery` in \\RoxPostHandler::getCallbackAction and the 'memory cookie' read by \\RoxModelBase::getMemoryCookie (bwRemember). (1) If present, `formkit_memory_recovery` is processed and passed to unserialize(), and (2) restore-from-memory functionality calls unserialize() on the bwRemember cookie value. Gadget chains present in Rox and bundled libraries enable exploitation of object injection to write arbitrary files or achieve remote code execution. Successful exploitation can lead to full site compromise. This vulnerability was remediated with commit c60bf04 (2025-06-16).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS