CVE-2021-36766 in concrete5
Zusammenfassung
von VulDB • 27.06.2026
Concrete5 bis 8.5.5 deserialisiert nicht vertrauenswürdige Daten. Der anfällige Code befindet sich in der Methode `Logging::update_logging()` innerhalb von `controllers/single_page/dashboard/system/environment/logging.php`. Benutzerdaten, die über den Anfrageparameter `logFile` übermittelt werden, werden vor ihrer Verwendung im Aufruf der PHP-Funktion `file_exists()` nicht ordnungsgemäß bereinigt. Dies kann von böswilligen Benutzern ausgenutzt werden, um beliebige PHP-Objekte in den Anwendungsbereich einzuschleusen (PHP Object Injection über die phar:// Stream Wrapper), wodurch sie eine Vielzahl von Angriffen durchführen können, wie z. B. das Ausführen willkürlichen PHP-Codes.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.