企业官网建设流程全解析

漏洞描述

在受影响版本中，SelectorController 将攻击者可控的 Cookie 数据直接传入 PHP 的 unserialize() 函数进行反序列化。攻击者可构造恶意的序列化 Payload，触发 PHP 对象注入，从而在服务器上执行任意代码。

影响范围

6.x 系列‌：升级至 ‌6.0.1‌ 及以上 ‌5.x 系列‌：升级至 ‌5.0.1‌ 及以上 ‌4.x 系列‌：升级至 ‌4.0.2‌ 及以上 ‌3.x 系列‌：升级至 ‌3.0.3‌ 及以上

漏洞复现

POC获取