N/A

The encoder_contexte_ajax function in ecrire/inc/filtres.php in SPIP 2.x before 2.1.19, 3.0.x before 3.0.22, and 3.1.x before 3.1.1 allows remote attackers to conduct PHP object injection attacks and execute arbitrary PHP code via a crafted serialized object.

N/A

N/A

SPIP 代码注入漏洞

SPIP是一套免费的基于Web的内容发布系统。该系统主要用于在线协作。 SPIP的ecrire/inc/filtres.php脚本中的‘encoder_contexte_ajax’函数存在安全漏洞。远程攻击者可借助特制的序列化对象利用该漏洞实施PHP对象注入攻击，执行任意PHP代码。以下版本受到影响：SPIP 2.1.19之前2.x版本，3.0.22之前3.0.x版本，3.1.1之前3.1.x版本。

N/A

N/A