CVE-2026-25359CVE-2026-25359 是 rascals Pendulum 产品中发现的一个高危安全漏洞,其根本原因是未能正确处理不受信任数据的反序列化操作,从而允许恶意的对象注入。该漏洞影响 Pendulum 从起始版本至 3.1.5 之前的所有发布版本。鉴于其 CVSS 评分高达 8.8,且攻击向量为网络,无需用户交互,仅需低权限即可触发,攻击者可利用此漏洞远程执行代码或窃取敏感数据,严重威胁系统的机密性、完整性和可用性,管理员应立即采取修复措施。
该漏洞属于典型的 PHP 反序列化漏洞,主要存在于 Pendulum 产品的数据处理逻辑中。在受影响版本中,应用程序直接使用了 `unserialize()` 函数来解析来自客户端的输入数据,而未对数据来源进行严格的合法性验证或签名校验。这一设计缺陷使得攻击者能够向服务器提交精心构造的恶意序列化字符串。当服务器端尝试将此字符串还原为对象时,PHP 引擎会自动调用对象中定义的魔术方法(如 `__wakeup()` 或 `__destruct()`)。攻击者通过利用应用程序中现有的类(POP 链),可以在这些魔术方法中嵌套恶意代码逻辑,例如利用文件操作类写入 Webshell,或利用命令执行类运行系统指令。结合 CVSS 向量分析,该漏洞利用难度低(AC:L),且无需用户交互(UI:N),攻击者仅需具备低权限(PR:L)即可通过网络发起攻击,最终可能导致服务器被完全控制。