Sam Thomas, un investigador de seguridad de Secarma, ha descubierto una nueva técnica de explotación que podría facilitar a los piratas informáticos desencadenar vulnerabilidades críticas de deserialización en el lenguaje de programación PHP utilizando funciones consideradas de bajo riesgo.
La nueva técnica deja cientos de miles de aplicaciones web abiertas para ataques remotos de ejecución de código, incluidos sitios web impulsados por algunos sistemas populares de administración de contenido como WordPress y Typo3.
Las vulnerabilidades de serialización PHP o inyección de objetos se documentaron inicialmente en 2009, lo que podría permitir a un atacante realizar diferentes tipos de ataques mediante el suministro de entradas maliciosas a la función PHP unserialize ().