关键漏洞信息 漏洞名称: Rox PHP Object Injection RCE 严重性: CRITICAL 日期: October 24, 2025 影响范围: Rox commit f09be94 < commit c60bf04 CVE编号: CVE-2025-34292 CWE编号: CWE-502 Deserialization of Untrusted Data CVSS评分: 9.4 CVSS V4向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VCH:VL:H/VA:H/SCH:S/SL:H/SA:H 参考链接: - Researcher Disclosure - Vulnerable Commit - Patch Commit 发现者: Drew Webber (mcdru1d) 描述: Rox软件(运行BeWelcome)包含一个PHP对象注入漏洞,该漏洞源于对不受信任数据的反序列化。用户控制的输入被传递给PHP的unserialize()函数:POST参数'formkit_memory_recovery'在\\RoxPostHandler::getCallbackAction()中读取,并且'memory_cookie'由\\RoxModelBase::getMemoryCookie(bwRemember)读取。(1) 如果存在,'formkit_memory_recovery'将被处理并传递给unserialize(),并且(2) restore-from-memory功能调用unserialize()在bwRemember cookie值上。Rox和捆绑库中存在的小工具链允许利用对象注入来写入任意文件或实现远程代码执行。成功的利用可能导致整个站点被攻破。此漏洞在提交f09be94(2025-01-03)中引入,并在提交c60bf04(2025-08-16)中修复。