unserialize
consente la creazione di costrutti arbitrari di oggetti di qualsiasi classe con attributi arbitrari. Durante la deserializzazione, la durata di un oggetto e l'interazione con l'oggetto, diversi metodi, tra cui i metodi magici , possono essere chiamati usando questi attributi arbitrariamente definibili. Un utente malintenzionato potrebbe essere in grado di utilizzare le funzionalità fornite all'interno di questi metodi chiamati a proprio vantaggio.
Alla fine, la sfruttabilità di tale vulnerabilità dipende esclusivamente dalle classi disponibili e dalle loro funzionalità. Dai un'occhiata alla sezione Esempi osservati e Riferimenti di CWE -915: Modifica controllata in modo errato degli attributi dell'oggetto risolti dinamicamente per esempi e ulteriori informazioni.
E dal momento che la menzionata vulnerabilità in FreePBX è accessibile senza autenticazione (in realtà accade durante il processo di autenticazione), si potrebbe dire che ignora l'autenticazione.