CVE-2025-34292 in Rox
Riassunto
di VulDB • 16/06/2026
Rox, il software che alimenta BeWelcome, presenta una vulnerabilità di PHP object injection risultante dalla deserializzazione di dati non attendibili. L'input controllato dall'utente viene passato alla funzione unserialize() di PHP: il parametro POST `formkit_memory_recovery` in \\RoxPostHandler::getCallbackAction e i 'cookie memory' letti da \\RoxModelBase::getMemoryCookie (bwRemember). (1) Se presente, `formkit_memory_recovery` viene elaborato e passato a unserialize(), e (2) la funzionalità di ripristino dalla memoria chiama unserialize() sul valore del cookie bwRemember. Le gadget chain presenti in Rox e nelle librerie bundle consentono lo sfruttamento dell'object injection per scrivere file arbitrari o ottenere l'esecuzione remota di codice (RCE). Lo sfruttamento riuscito può portare alla compromissione completa del sito. Questa vulnerabilità è stata risolta con il commit c60bf04 (2025-06-16).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.