New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Object Deserialisation Vulnerability in index.php #330
Comments
whats wrong with you? |
Ну он говорит, что есть проблема безопасности. Нужно проверить. Переоткрой |
Я вижу что он говорит. А говорит он хуйню. Так как там вокруг if (cfr('USERREG')) { и обожемой, недобросовестный администратор имеющий права(!) на USERREG или ROOT может самостоятельно подсунуть(!) какие-то значения в массив передаваемый по-визарду дальше. Блядь, у него для этого целый интерфейс коим и является этот модуль есть. Какая нахуй десериализация объектов? Какое нахуй "allowing the attacker to perform unauthorised actions like execution of code"? Блядь у нас для этого целая developer console сделана. Глюпый чучмек считает, что это какой-то сайт с публичной регистрацией, типа форума мамашек, и обожемой какие-то данные, которые передаются постом сериализируются и потом огоспадибожемой(!) могут быть изменены собой же, либо при помощи активного XSS. |
For totally retarded retards, about "CVE-2018-1000827": thats is not exploitable at all and requires registered system administrator account, with specific rights or root rights. If someone have account with such priviligies - he automaticly have rights to execute any(!) code with ROOT(!) priviligies at host machine. All Ubilling project is developed for this purposes and intended to manage whole system under the root priviliges. Possibility of remote modification of some data in one array with administrator account which have unlimited rights in this project is lesser evil that anyone can imagine. That's like "vulnerability" in ssh - if you know login/password of some administrator you can execute some commands or random code, omg omg :) There is nothing to fix, except understanding of Ubilling purposes, use cases and do not show your unlimited privileges account data with web interface for control host system to the whole world. |
The Issue
Object Deserialization Injection attacks utilise overly trusted user-controlled input, passed to deserialisation functions. The deserialisation of objects can trigger certain methods within the object, allowing the attacker to perform unauthorised actions like execution of code, disclosure of information, etc.
Where the Issue Occurred
Displayed below is the code where the user input is passed into the deserialisation function:
Ubilling/modules/general/userreg/index.php
Line 64 in 2c1b339
The text was updated successfully, but these errors were encountered: