CVE-2025-34292 in Roxinformazioni

Riassunto

di VulDB • 16/06/2026

Rox, il software che alimenta BeWelcome, presenta una vulnerabilità di PHP object injection risultante dalla deserializzazione di dati non attendibili. L'input controllato dall'utente viene passato alla funzione unserialize() di PHP: il parametro POST `formkit_memory_recovery` in \\RoxPostHandler::getCallbackAction e i 'cookie memory' letti da \\RoxModelBase::getMemoryCookie (bwRemember). (1) Se presente, `formkit_memory_recovery` viene elaborato e passato a unserialize(), e (2) la funzionalità di ripristino dalla memoria chiama unserialize() sul valore del cookie bwRemember. Le gadget chain presenti in Rox e nelle librerie bundle consentono lo sfruttamento dell'object injection per scrivere file arbitrari o ottenere l'esecuzione remota di codice (RCE). Lo sfruttamento riuscito può portare alla compromissione completa del sito. Questa vulnerabilità è stata risolta con il commit c60bf04 (2025-06-16).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

VulnCheck

Prenotare

15/04/2025

Divulgazione

27/10/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00530

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!