从这个页面的截图中,可以提取到以下关于漏洞的关键信息: - **变更内容**: - 更新了 `contact-form-entries/tags/1.4.6/contact-form-entries.php` 文件,主要是更新了版本号从 `1.4.5` 到 `1.4.6`。 - `create_entry_fr` 函数中对 `$data` 进行了 `maybe_unserialize` 处理,并提示该函数可能引发错误。 - 使用 `maybe_unserialize` 函数时,未提供允许的类数组(`allowed_classes` 参数为 `false`),可能允许 PHP 对象注入 (POI) 攻击。 - **漏洞描述**: - 因为 `maybe_unserialize` 函数在没有指定允许的类的情况下使用,攻击者可能通过控制序列化的数据,并借助 PHP 对象注入(POI)执行任意代码。 ```markdown ## 关键漏洞信息 - **文件**:`contact-form-entries/tags/1.4.6/contact-form-entries.php` - **函数**:`maybe_unserialize($val, array('allowed_classes' => false));` 在 `create_entry_fr` 和 `create_entry_na` 以及 `create_entry_na` 函数中多次被调用。 - **影响**: - 当 `maybe_unserialize` 使用默认的 `allowed_classes` 参数时,允许任意 PHP 对象反序列化,可能允许远程代码执行。 ## 推测的安全风险 - **PHP 对象注入**:攻击者可能通过特殊的序列化数据绕过限制,注入恶意代码,可以在应用程序上下文中执行任意 PHP 代码。 - **可能的攻击途径**: - 控制 `$data` 的值,注入可利用的序列化对象。 - 利用补丁升级前的版本,发起漏洞攻击。 ```