CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-12799
https://notcve.org/view.php?id=CVE-2019-12799
In createInstanceFromNamedArguments in Shopware through 5.6.x, a crafted web request can trigger a PHP object instantiation vulnerability, which can result in an arbitrary deserialization if the right class is instantiated. An attacker can leverage this deserialization to achieve remote code execution. NOTE: this issue is a bypass for a CVE-2017-18357 whitelist patch. En createInstanceFromNamedArguments en Shopware hasta 5.6.x, solicitud de web manual puede desencadenar una vulnerabilidad una vulnerabilidad de instanciación de objetos PHP, lo cual puede resultar una deserialización si la clase correcta es instanciado. Un atacante puede influenciar esta deserialización para lograr una ejecución del código remoto. • https://github.com/rapid7/metasploit-framework/pull/11828 https://blog.ripstech.com/2017/shopware-php-object-instantiation-to-blind-xxe https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/multi/http/shopware_createinstancefromnamedarguments_rce.rb • CWE-502: Deserialization of Untrusted Data •