| |
Podatność CVE-2018-15133
Publikacja: 2018-08-09
| Opis: |
In Laravel Framework through 5.5.40 and 5.6.x through 5.6.29, remote code execution might occur as a result of an unserialize call on a potentially untrusted X-XSRF-TOKEN value. This involves the decrypt method in Illuminate/Encryption/Encrypter.php and PendingBroadcast in gadgetchains/Laravel/RCE/3/chain.php in phpggc. The attacker must know the application key, which normally would never occur, but could happen if the attacker previously had privileged access or successfully accomplished a previous attack. |
W naszej bazie, znaleźliśmy następujące noty dla tego CVE: | Tytuł | Autor | Data |
High |
| aushack | 16.07.2019 |
Typ:
CWE-502 (Deserialization of Untrusted Data)
CVSS2 => (AV:N/AC:M/Au:N/C:P/I:P/A:P)
| Ogólna skala CVSS |
Znaczenie |
Łatwość wykorzystania |
6.8/10 |
6.4/10 |
8.6/10 |
| Wymagany dostęp |
Złożoność ataku |
Autoryzacja |
Zdalny |
Średnia |
Nie wymagana |
| Wpływ na poufność |
Wpływ na integralność |
Wpływ na dostępność |
Częściowy |
Częściowy |
Częściowy |
Referencje: |
http://packetstormsecurity.com/files/153641/PHP-Laravel-Framework-Token-Unserialize-Remote-Command-Execution.html
https://laravel.com/docs/5.6/upgrade#upgrade-5.6.30
|
|
|
Copyright 2024, cxsecurity.com
|
|
|
Polish
English