[KIS-2026-02] Blesta <= 5.13.1 (Admin Interface) Multiple PHP Object Injection Vulnerabilities
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内,并且不需要特定的开头。首先,我得仔细阅读用户提供的文章内容。 这篇文章是关于Blesta软件的一个安全漏洞公告。受影响的版本是从3.0.0到5.13.1。漏洞类型是PHP对象注入,因为用户输入没有被正确过滤,导致unserialize函数被利用。攻击者可以注入任意PHP对象,进而执行任意代码,比如远程代码执行(RCE)。 接下来,漏洞的解决方案是升级到5.13.2或更高版本。披露时间线显示从2026年1月到2月完成了通知、修复和公开。CVE编号是CVE-2026-25615,由Egidio Romano发现。 现在我需要把这些信息浓缩到100字以内。重点包括软件名称、漏洞类型、影响范围、攻击方式、解决方案和披露时间。要确保信息准确且简洁。 可能会遇到的问题是如何在有限的字数内涵盖所有关键点。可能需要省略一些细节,比如具体的POST参数或POC链接,但要保留主要的安全问题和修复措施。 最终的总结应该清晰明了,让读者快速了解Blesta的安全问题及其解决方案。 </think> Blesta <= 5.13.1 存在多个 PHP 对象注入漏洞,影响版本 3.0.0 至 5.13.1。攻击者可通过恶意管理员用户利用未正确过滤的输入,在 `vars`、`order_info` 和 `$group_name` 参数中触发 `unserialize()` 函数,导致任意 PHP 对象注入和代码执行。建议升级至 5.13.2 或更高版本修复漏洞。 2026-2-5 04:50:52 Author: seclists.org(查看原文) 阅读量:0 收藏
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内,并且不需要特定的开头。首先,我得仔细阅读用户提供的文章内容。 这篇文章是关于Blesta软件的一个安全漏洞公告。受影响的版本是从3.0.0到5.13.1。漏洞类型是PHP对象注入,因为用户输入没有被正确过滤,导致unserialize函数被利用。攻击者可以注入任意PHP对象,进而执行任意代码,比如远程代码执行(RCE)。 接下来,漏洞的解决方案是升级到5.13.2或更高版本。披露时间线显示从2026年1月到2月完成了通知、修复和公开。CVE编号是CVE-2026-25615,由Egidio Romano发现。 现在我需要把这些信息浓缩到100字以内。重点包括软件名称、漏洞类型、影响范围、攻击方式、解决方案和披露时间。要确保信息准确且简洁。 可能会遇到的问题是如何在有限的字数内涵盖所有关键点。可能需要省略一些细节,比如具体的POST参数或POC链接,但要保留主要的安全问题和修复措施。 最终的总结应该清晰明了,让读者快速了解Blesta的安全问题及其解决方案。 </think> Blesta <= 5.13.1 存在多个 PHP 对象注入漏洞,影响版本 3.0.0 至 5.13.1。攻击者可通过恶意管理员用户利用未正确过滤的输入,在 `vars`、`order_info` 和 `$group_name` 参数中触发 `unserialize()` 函数,导致任意 PHP 对象注入和代码执行。建议升级至 5.13.2 或更高版本修复漏洞。 2026-2-5 04:50:52 Author: seclists.org(查看原文) 阅读量:0 收藏
Full Disclosure mailing list archives
From: Egidio Romano <n0b0d13s () gmail com>
Date: Wed, 4 Feb 2026 11:49:40 +0100
-------------------------------------------------------------------------------- Blesta <= 5.13.1 (Admin Interface) Multiple PHP Object Injection Vulnerabilities -------------------------------------------------------------------------------- [-] Software Link: https://www.blesta.com [-] Affected Versions: All versions from 3.0.0 to 5.13.1. [-] Vulnerabilities Description: The vulnerabilities exist because user input passed through the "vars" and "order_info" POST parameters when dispatching the /app/controllers/admin_clients.php script, and through the "$group_name" POST parameter when dispatching the /app/controllers/admin_company_groups.php script, is not properly sanitized before being used in a call to the unserialize() PHP function. This can be exploited by malicious administrator users to inject arbitrary PHP objects into the application scope, allowing them to perform a variety of attacks, such as executing arbitrary PHP code (RCE). [-] Proof of Concept: https://karmainsecurity.com/pocs/CVE-2026-25615.php [-] Solution: Apply the vendor patch or upgrade to version 5.13.2 or later. [-] Disclosure Timeline: [19/01/2026] - Vendor notified [20/01/2026] - Vendor response stating: “this issue was previously identified during an internal security review” [22/01/2026] - CVE identifier requested [28/01/2026] - Version 5.13.2 released [31/01/2026] - Version 5.13.3 released to address regressions introduced in 5.13.2 [03/02/2026] - CVE identifier assigned [04/02/2026] - Public disclosure [-] CVE Reference: The Common Vulnerabilities and Exposures project (cve.org) has assigned the name CVE-2026-25615 to these vulnerabilities. [-] Credits: Vulnerabilities discovered by Egidio Romano. [-] Other References: https://www.blesta.com/2026/01/28/security-advisory/ [-] Original Advisory: https://karmainsecurity.com/KIS-2026-02 _______________________________________________ Sent through the Full Disclosure mailing list https://nmap.org/mailman/listinfo/fulldisclosure Web Archives & RSS: https://seclists.org/fulldisclosure/
Current thread:
- [KIS-2026-02] Blesta <= 5.13.1 (Admin Interface) Multiple PHP Object Injection Vulnerabilities Egidio Romano (Feb 04)
文章来源: https://seclists.org/fulldisclosure/2026/Feb/1
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh