CRITICAL🇬🇧 English

CVE-2024-54136

PHP Deserialization w ClipBucket V5 umożliwia zdalne wykonanie kodu

CVSS 9.8v3.1pub. 2024-12-06upd. 2025-09-22

ClipBucket V5 w wersji 5.5.1 Revision 199 i wcześniejszych zawiera krytyczną podatność typu PHP Deserialization, pozwalającą nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu. Podatność wynika z bezpośredniego przekazania niezweryfikowanych danych wejściowych od użytkownika do funkcji unserialize().

Pokaż oryginał (EN)

ClipBucket V5 provides open source video hosting with PHP. ClipBucket-v5 Version 5.5.1 Revision 199 and below is vulnerable to PHP Deserialization vulnerability. The vulnerability exists in upload/upload.php where the user supplied input via collection get parameter is directly provided to unserialize function. As a result, it is possible for an adversary to inject maliciously crafted PHP serialized object and utilize gadget chains to cause unexpected behaviors of the application. This vulnerability is fixed in 5.5.1 Revision 200.

🤖 Analiza AI
Jak działa

W pliku upload/upload.php wartość parametru GET o nazwie 'collection' jest przekazywana bezpośrednio do funkcji unserialize() bez jakiejkolwiek walidacji lub filtrowania. Atakujący może dostarczyć złośliwie spreparowany, zserializowany obiekt PHP jako wartość tego parametru. Korzystając z tzw. gadget chains — łańcuchów istniejących klas i metod w aplikacji lub jej zależnościach — możliwe jest wywołanie nieprzewidzianych zachowań aplikacji, w tym wykonania dowolnego kodu po stronie serwera.

Skutki

Nieuwierzytelniony atakujący może zdalnie wykonać dowolny kod na serwerze (RCE), co prowadzi do pełnego przejęcia kontroli nad aplikacją, ujawnienia poufnych danych oraz naruszenia integralności i dostępności systemu.

Mitygacja

Należy zaktualizować ClipBucket V5 do wersji 5.5.1 Revision 200, w której podatność została naprawiona. Patch dostępny jest w repozytorium projektu na GitHub (commit 76a829c088f0813ab3244a3bd0036111017409b0).

Kogo dotyczy

ClipBucket V5 (ClipBucket-v5) w wersji 5.5.1 Revision 199 oraz wszystkich wcześniejszych wersjach

Uwagi

Podatność dotyczy publicznie dostępnej platformy open source do hostowania wideo. Fakt, że parametr GET jest bezpośrednio deserializowany bez uwierzytelnienia (AV:N/PR:N), znacząco obniża próg wejścia dla potencjalnego atakującego.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oxygenz Clipbucket

    APP
    Oxygenz
    5.5.1-141 – 5.5.1-200 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2026-25728CRITICAL9.3PL ✓ten sam produkt

TOCTOU Race Condition w ClipBucket umożliwia wykonanie kodu PHP

CVE-2026-21875CRITICAL9.8PL ✓ten sam produkt

Blind SQL Injection w ClipBucket v5 — sekcja komentarzy kanału

CVE-2025-67418CRITICAL9.8PL ✓ten sam produkt

ClipBucket 5.5.2 — hardcoded domyślne dane logowania w panelu admina

CVE-2025-21624CRITICAL9.8PL ✓ten sam produkt

ClipBucket V5 — nieograniczony upload plików PHP przez funkcję playlist

CVE-2024-54135CRITICAL9.8PL ✓ten sam produkt

PHP Deserialization w ClipBucket V5 — zdalne wykonanie kodu