CVE-2026-37552 in MixPHPthông tin

Tóm tắt

Bởi VulDB • 04/06/2026

Lỗ hổng không an toàn khi giải serialize (deserialization) trong MixPHP Framework 2.x đến 2.2.17. Máy chủ TCP sync-invoke (Server.php:87) nhận dữ liệu từ một socket TCP, chuyển trực tiếp dữ liệu đó vào hàm `Opis\Closure\unserialize()`, sau đó thực thi kết quả thông qua `call_user_func()`. Không có cơ chế xác thực hoặc xác minh chữ ký trên kết nối TCP. Kẻ tấn công có quyền truy cập vào cổng TCP localhost (máy chủ lắng nghe trên 127.0.0.1) có thể gửi một đối tượng PHP closure đã được serialize tùy biến để thực thi mã tùy ý.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

MITRE

Đặt trước

06/04/2026

Tiết lộ

01/05/2026

Kiểm duyệt

được chấp nhận

mục

VDB-360731

CPE

sẵn sàng

CWE

CWE-502 (Đã xác nhận)

CVSS

7.3 (VulDB)

EPSS

0.00133

KEV

không

Các hoạt động

rất thấp

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-37552
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-37552
CVE Details	https://www.cvedetails.com/cve/CVE-2026-37552/

◂ Trước Tổng Quan Tiếp theo ▸

Interested in the pricing of exploits?

See the underground prices here!