漏洞信息 - 受影响的软件及版本: - UNA CMS <= 14.0.0-RC4 - 具体受影响版本区间:所有从 9.0.0-RC1 至 14.0.0-RC4 的版本 - 漏洞描述: - 漏洞位于 脚本中。 - 特别是在 方法内,通过 "profile_id" POST 参数传递的用户输入在调用 函数前未进行适当的数据清理,可被远程、未授权的攻击者利用,向应用程序环境注入任意 PHP 对象,导致诸如任意 PHP 代码的编写和执行在内的多种攻击行为。 - 概念验证 (PoC): - https://karmainsecurity.com/pocs/CVE-2025-32101.php - 解决方案: - 升级至版本 14.0.0-RC5 或之后版本。 - 漏洞披露时间线: - [2025-03-25] - 通知厂商 - [2025-03-29] - 请求 CVE 标识符 - [2025-01-04] - 版本 14.0.0-RC5 发布 - [2025-04-04] - CVE 标识符分配 - [2025-04-07] - 公开披露 - CVE 引用: - 通用漏洞和暴露计划(cve.mitre.org)为该漏洞指定了名称 CVE-2025-32101。 - 发现者: - 漏洞由 Egidio Romano 发现。