Pimcore "Pimcore_Tool_Newsletter::getObjectByToken()" PHP对象注入漏洞

2014-04-18T00:00:00
ID SSV:62219
Type seebug
Reporter Root
Modified 2014-04-18T00:00:00

Description

Pimcore是一个纯粹的基于 Zend Framework, 使用PHP 5编写的面向对象的系统。

Pimcore /lib/Pimcore/Tool/Newsletter.php中的"Pimcore_Tool_Newsletter::getObjectByToken()"方法不正确过滤用户提交的输入,允许攻击者提交特制的序列化对象删除任意文件。 0 Pimcore 2.x Pimcore 2.2.0版本已修复该漏洞,建议用户下载使用: http://www.pimcore.org