[TASK] unserialize() without objects in impexp
[Packages/TYPO3.CMS.git] / typo3 / sysext / impexp / Classes / Import.php
index ef985cf..ce53dd4 100644 (file)
@@ -1749,7 +1749,7 @@ class Import extends ImportExport
                     return null;
                 }
             }
-            return $unserialize ? unserialize($datString) : $datString;
+            return $unserialize ? unserialize($datString, ['allowed_classes' => false]) : $datString;
         } else {
             $this->error('MD5 check failed (' . $name . ')');
         }
@@ -1798,7 +1798,7 @@ class Import extends ImportExport
             if ($initStrDat[1]) {
                 if ($this->compress) {
                     $datString = gzuncompress($datString);
-                    return $unserialize ? unserialize($datString) : $datString;
+                    return $unserialize ? unserialize($datString, ['allowed_classes' => false]) : $datString;
                 } else {
                     $this->error('Content read error: This file requires decompression, but this server does not offer gzcompress()/gzuncompress() functions.');
                 }