← voltar
CVE-2014-2922

CVE-2014-2922

EPSS 2.9%
The getObjectByToken function in Newsletter.php in the Pimcore_Tool_Newsletter module in pimcore 1.4.9 through 2.1.0 does not properly handle an object obtained by unserializing a pathname, which allows remote attackers to conduct PHP object injection attacks and delete arbitrary files via vectors involving a Zend_Http_Response_Stream object.
Produtos afetados
n/a · n/a
PoCs públicas encontradas1
exploitdbwww.exploit-db.com/exploits/43886não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://openwall.com/lists/oss-security/2014/04/21/1https://github.com/pedrib/PoC/blob/master/pimcore-2.1.0.txthttp://www.pimcore.org/en/resources/blog/pimcore+2.2+released_b442