CVE-2025-60641 (CNNVD-202510-2322)
中文标题:
Vfront 安全漏洞
英文标题:
The file mexcel.php in the Vfront 0.99.52 codebase contains a vulnerable call to unserialize(base64_...
漏洞描述
中文描述:
Vfront是Marcello Verona个人开发者的一个数据库管理前端工具。 Vfront 0.99.52版本存在安全漏洞,该漏洞源于对用户控制的输入进行反序列化操作时未进行验证或使用allowed_classes选项,可能导致远程代码执行、SQL注入、路径遍历或拒绝服务攻击。
英文描述:
The file mexcel.php in the Vfront 0.99.52 codebase contains a vulnerable call to unserialize(base64_decode($_POST['mexcel'])), where $_POST['mexcel'] is user-controlled input. This input is decoded from base64 and deserialized without validation or use of the allowed_classes option, allowing an attacker to inject arbitrary PHP objects. This can lead to malicious behavior, such as Remote Code Execution (RCE), SQL Injection, Path Traversal, or Denial of Service, depending on the availability of exploitable classes in the Vfront codebase or its dependencies.
CWE类型:
标签:
受影响产品
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
3.1 (adp)
MEDIUMCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2025-60641 |
2025-11-11 15:23:33 | 2025-11-11 07:40:47 |
| NVD | nvd_CVE-2025-60641 |
2025-11-11 15:01:06 | 2025-11-11 07:48:34 |
| CNNVD | cnnvd_CNNVD-202510-2322 |
2025-11-11 15:13:00 | 2025-11-11 08:00:17 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 其他
- cnnvd_id: 未提取 -> CNNVD-202510-2322
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- data_sources: ['cve'] -> ['cve', 'nvd']