Vulnerabilidad en Zumba Json Serializer (CVE-2026-27206)

Zumba Json Serializer es una biblioteca para serializar variables de PHP en formato JSON. En las versiones 3.2.2 e inferiores, la biblioteca permite la deserialización de objetos PHP desde JSON utilizando un campo especial @type. El deserializador instancia cualquier clase especificada en el campo @type sin restricciones. Al procesar entrada JSON no confiable, este comportamiento puede permitir a un atacante instanciar clases arbitrarias disponibles en la aplicación. Si una aplicación vulnerable pasa JSON controlado por el atacante a JsonSerializer::unserialize() y contiene clases con métodos mágicos peligrosos (como __wakeup() o __destruct()), esto puede llevar a la inyección de objetos PHP y, potencialmente, a la ejecución remota de código (RCE), dependiendo de las cadenas de gadgets disponibles en la aplicación o sus dependencias. Este comportamiento es similar en perfil de riesgo al unserialize() nativo de PHP cuando se usa sin la restricción allowed_classes. Las aplicaciones se ven afectadas solo si se pasa JSON no confiable o controlado por el atacante a JsonSerializer::unserialize() y la aplicación o sus dependencias contienen clases que pueden ser aprovechadas como una cadena de gadgets. Este problema ha sido solucionado en la versión 3.2.3. Si una actualización inmediata no es factible, mitigue la vulnerabilidad al nunca deserializar JSON no confiable con JsonSerializer::unserialize(), validando y saneando toda la entrada JSON antes de la deserialización, y deshabilitando la instanciación de objetos basada en @type siempre que sea posible.