Vulnerabilità: CVE-2020-4043

phpMussel dalle versioni 1.0.0 e 1.6.0 meno ha una vulnerabilità di deserializzazione in wrapper phar di PHP. Caricamento di un file appositamente predisposto a una versione interessata permette l’esecuzione arbitraria di codice (scoperto, testato, e confermato da me), quindi il fattore di rischio dovrebbe essere considerata molto elevata. le versioni più recenti phpMussel non usano phar involucro di PHP, e sono quindi inalterati. Questo è stato risolto nella versione 1.6.0.


https://github.com/phpMussel/phpMussel/security/advisories/GHSA-qr95-4mq5-r3fh
https://github.com/phpMussel/phpMussel/commit/97f25973433921c1f953430f32d3081adc4851a4
https://github.com/phpMussel/phpMussel/issues/167
https://github.com/phpMussel/phpMussel/pull/173
https://github.com/phpMussel/phpMussel/security/policy#currently-known-vulnerabilities
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4043


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi