从这个网页截图中可以获取到以下关于漏洞的关键信息: 标题: phpwcms 1.10.8 phar deserialization vulnerability 描述: - phpwcms内容管理系统在feedimport模块中存在PHP对象注入漏洞,通过反序列化不受信任的输入。 - 攻击者可以通过 参数提供恶意PHAR URL来触发PHP的反序列化机制。 - 此漏洞允许攻击者通过目录遍历攻击模式(如 )注入PHP对象。 - 在当前应用程序中尚未发现POP(属性链编程)链,这意味着漏洞的影响可能有限,除非其他组件包含易受攻击的目标。 - 如果通过额外组件引入POP链,攻击者可能删除文件、访问敏感信息或执行任意代码,具体取决于可用的小工具。 - 攻击需要有效的CSRF令牌才能被包括在请求中。 来源: https://github.com/zer0n3/reports/blob/main/phpwcms/phar%20vulnerability/%20in%20phpwcms.md 提交者: Cam0 (UID:55595) 提交时间: 2020年7月25日 16:33 AM 审核时间: 2020年7月27日 14:44 AM 状态: 已审核 VulDB条目: [stapleware phpwcms up to 1.9.85/1.10.0 FeedImport Module processing in php cat_text deserialization] 积分: 20