Informazioni sul CVE-2025-22145
Carbon has an arbitrary file include via unvalidated input passed to Carbon::setLocale
CWE ID: CWE-98
Base Score (CVSS): 6.3
CVE: CVE-2025-22145
Descrizione: Carbon è un modulo internazionale per PHP per la classe DateTime. L’invio di input utente non sanificato a Carbon::setLocale può esporre il rischio di includere file arbitrari, se l’applicazione consente agli utenti di caricare file con estensione .php in una cartella che permette di leggere o includere, allora si rischia di eseguire codice arbitrario sui loro server. Questa vulnerabilità è stata corretta in 3.8.4 e 2.72.6.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/CarbonPHP/carbon/security/advisories/GHSA-j3f9-p6hm-5w6q
- https://github.com/briannesbitt/Carbon/commit/129700ed449b1f02d70272d2ac802357c8c30c58
Prodotti interessati
- CarbonPHP – carbon
Relazioni con altri prodotti
Produttore:CarbonPHP
Prodotto: carbon
Anno: 2025
CWE: CWE-98
CVSS: 6.3