Object Deserialisation Vulnerability in index.php

[prodigysml]

The Issue

Object Deserialization Injection attacks utilise overly trusted user-controlled input, passed to deserialisation functions. The deserialisation of objects can trigger certain methods within the object, allowing the attacker to perform unauthorised actions like execution of code, disclosure of information, etc.

Where the Issue Occurred

Displayed below is the code where the user input is passed into the deserialisation function:

Ubilling/modules/general/userreg/index.php

Line 64 in 2c1b339

$newuser_data = unserialize(base64_decode($_POST['repostdata']));

[nightflyza]

whats wrong with you?

[pautiina]

Ну он говорит, что есть проблема безопасности. Нужно проверить. Переоткрой

[nightflyza]

Я вижу что он говорит. А говорит он хуйню. Так как там вокруг if (cfr('USERREG')) { и обожемой, недобросовестный администратор имеющий права(!) на USERREG или ROOT может самостоятельно подсунуть(!) какие-то значения в массив передаваемый по-визарду дальше. Блядь, у него для этого целый интерфейс коим и является этот модуль есть. Какая нахуй десериализация объектов? Какое нахуй "allowing the attacker to perform unauthorised actions like execution of code"? Блядь у нас для этого целая developer console сделана. Глюпый чучмек считает, что это какой-то сайт с публичной регистрацией, типа форума мамашек, и обожемой какие-то данные, которые передаются постом сериализируются и потом огоспадибожемой(!) могут быть изменены собой же, либо при помощи активного XSS.

[nightflyza]

For totally retarded retards, about "CVE-2018-1000827": thats is not exploitable at all and requires registered system administrator account, with specific rights or root rights. If someone have account with such priviligies - he automaticly have rights to execute any(!) code with ROOT(!) priviligies at host machine. All Ubilling project is developed for this purposes and intended to manage whole system under the root priviliges. Possibility of remote modification of some data in one array with administrator account which have unlimited rights in this project is lesser evil that anyone can imagine. That's like "vulnerability" in ssh - if you know login/password of some administrator you can execute some commands or random code, omg omg :)

There is nothing to fix, except understanding of Ubilling purposes, use cases and do not show your unlimited privileges account data with web interface for control host system to the whole world.