Piwik 'unserialize()' PHP代码执行漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

Bugraq ID: 37312 CVE ID:CVE-2009-4137 Piwik是一款开源的WEB统计系统。 Piwik unserializes()用户输入允许攻击者发送特殊构建的cookie,可导致以应用程序权限执行任意PHP代码。 Piwik从cookie中获得数据进行unserialize()操作,通过反序列化部分Piwik的对象,可覆盖WEB服务上可写目录下的任意文件,攻击者借此可用于上传任意PHP文件并以WEB权限执行。 Piwik 0.2.32 Piwik 0.4 Piwik 0.3 Piwik 0.5已经修复此漏洞,建议用户下载使用: http://piwik.org/blog/2009/12/piwik-response-to-shocking-news-in-php-exploitation/

0%
暂无可用Exp或PoC
当前有0条受影响产品信息