CVE-2020-28948

Опубликовано: 19 нояб. 2020

Источник: debian

EPSS Высокий

Описание

Archive_Tar through 1.4.10 allows an unserialization attack because phar: is blocked but PHAR: is not blocked.

Пакет	Статус	Версия исправления	Релиз	Тип
drupal7	removed			package
php-pear	fixed	1:1.10.9+submodules+notgz-1.1		package

https://github.com/pear/Archive_Tar/issues/33
https://github.com/pear/Archive_Tar/commit/0670a05fdab997036a3fc3ef113b8f5922e574da
https://www.drupal.org/sa-core-2020-013

EPSS

Процентиль: 99%

0.74454

Высокий

CVE-2020-28948

CVSS3: 7.8

ubuntu

больше 4 лет назад

Archive_Tar through 1.4.10 allows an unserialization attack because phar: is blocked but PHAR: is not blocked.

CVE-2020-28948

CVSS3: 7.8

redhat

больше 4 лет назад

Archive_Tar through 1.4.10 allows an unserialization attack because phar: is blocked but PHAR: is not blocked.

CVE-2020-28948

CVSS3: 7.8

nvd

больше 4 лет назад

Archive_Tar through 1.4.10 allows an unserialization attack because phar: is blocked but PHAR: is not blocked.

GHSA-jh5x-hfhg-78jq

CVSS3: 7.8

github

около 4 лет назад

Deserialization of Untrusted Data in Archive_Tar

BDU:2021-03621

CVSS3: 8.8

fstec

больше 4 лет назад

Уязвимость функции _maliciousFilename класса Archive_Tar библиотеки PHP классов PEAR, позволяющая нарушителю выполнить произвольный PHP-код

EPSS

Процентиль: 99%

0.74454

Высокий