[TASK] Use secure deserialization in extension manager
[Packages/TYPO3.CMS.git] / typo3 / sysext / extensionmanager / Classes / Utility / Connection / TerUtility.php
index 05b54af..4185c53 100644 (file)
@@ -91,7 +91,7 @@ class TerUtility
                     throw new ExtensionManagerException('Decoding Error: No decompressor available for compressed content. gzuncompress() function is not available!', 1342859463);
                 }
             }
-            $listArr = unserialize($dat);
+            $listArr = unserialize($dat, ['allowed_classes' => false]);
             if (!is_array($listArr)) {
                 throw new ExtensionManagerException('Error: Unserialized information was not an array - strange!', 1342859489);
             }
@@ -120,7 +120,7 @@ class TerUtility
             }
         }
         if (md5($parts[2]) === $parts[0]) {
-            $output = unserialize($parts[2]);
+            $output = unserialize($parts[2], ['allowed_classes' => false]);
             if (!is_array($output)) {
                 throw new ExtensionManagerException('Error: Content could not be unserialized to an array. Strange (since MD5 hashes match!)', 1344761938);
             }