Durante una prueba de penetración interna, descubrí una vulnerabilidad de creación de instancias de objetos arbitrarios no autenticados en LAM (Administrador de cuentas LDAP), una aplicación PHP. La creación de instancias de objetos arbitrarios de PHP es una falla en la que un atacante puede crear objetos arbitrarios. Este defecto puede venir en todas las formas y tamaños. En mi caso, el código vulnerable podría haberse reducido a una construcción simple: nuevo $_GET['a']($_GET['b']); Eso es todo.