CVE-2025-60641
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 - wyżej niż 30% wszystkich znanych CVE
Streszczenie
W pliku mexcel.php w Vfront 0.99.52 występuje podatność na deserializację niesprawdzonego wejścia użytkownika. Funkcja unserialize jest wywoływana na danych z $_POST['mexcel'] po dekodowaniu base64, bez walidacji i bez ograniczenia dozwolonych klas. Umożliwia to atakującemu wstrzyknięcie dowolnych obiektów PHP, co może prowadzić do zdalnego wykonania kodu, wstrzyknięcia SQL, przejścia ścieżek lub odmowy usługi.
Ocena ryzyka
Organizacja narażona jest na przejęcie kontroli nad serwerem, wyciek danych lub przerwanie działania usługi. Atakujący może wykorzystać dostępne klasy w kodzie Vfront lub jego zależnościach do przeprowadzenia zdalnego wykonania kodu.
Rekomendacja
Należy natychmiast zaktualizować Vfront do najnowszej wersji, w której usunięto tę podatność. Jeśli aktualizacja nie jest możliwa, należy zastąpić wywołanie unserialize bezpieczną funkcją, taką jak json_decode, lub użyć opcji allowed_classes z pustą tablicą.
Oryginalny opis (angielski, źródło NVD)
The file mexcel.php in the Vfront 0.99.52 codebase contains a vulnerable call to unserialize(base64_decode($_POST['mexcel'])), where $_POST['mexcel'] is user-controlled input. This input is decoded from base64 and deserialized without validation or use of the allowed_classes option, allowing an attacker to inject arbitrary PHP objects. This can lead to malicious behavior, such as Remote Code Execution (RCE), SQL Injection, Path Traversal, or Denial of Service, depending on the availability of exploitable classes in the Vfront codebase or its dependencies.

