Podatność w ThinkPHP w wersji 3.2.5 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez żadnego uwierzytelnienia. Ze względu na krytyczny poziom CVSS 9.8 oraz brak wymagań wstępnych stanowi bezpośrednie zagrożenie dla serwerów z działającą aplikacją opartą na tej wersji frameworka.
▸ Pokaż oryginał (EN)
An issue in thinkphp3 v.3.2.5 allows a remote attacker to execute arbitrary code via the index.php component
Atakujący wysyła spreparowane żądanie HTTP do komponentu index.php aplikacji opartej na ThinkPHP 3.2.5. Podatność sklasyfikowana jako CWE-94 (Improper Control of Generation of Code) wskazuje na możliwość wstrzyknięcia i wykonania kodu po stronie serwera. Exploit nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych warunków sieciowych, co czyni go trywialnym do przeprowadzenia zdalnie.
Atakujący może uzyskać pełną kontrolę nad serwerem — odczytać, zmodyfikować lub usunąć dane, uruchomić dowolne polecenia systemowe oraz potencjalnie uzyskać dostęp do innych zasobów w sieci wewnętrznej.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na brak aktywnego wsparcia dla gałęzi ThinkPHP 3.x zaleca się pilną migrację do aktualnie wspieranej wersji frameworka.
ThinkPHP w wersji 3.2.5 (thinkphp3)
Podatność powiązana z identyfikatorem CNVD-2024-39045, co wskazuje na wcześniejsze zgłoszenie do chińskiej bazy podatności. Referencje wskazują na badacza publikującego pod domeną xinyisleep.github.io.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HThinkphp
APPThinkphp3.2.5
Powiązane podatności
ThinkPHP 5.0.23 — zdalne wykonanie kodu przez parametr routingu (RCE)
RCE w funkcji read sterownika szablonów ThinkPHP 5.0.24
RCE w ThinkPHP 5.1 przez funkcję routecheck
ThinkPHP: RCE poprzez deserializację w Index.php (CVE-2024-48112)
Krytyczna podatność deserialization RCE w ThinkPHP v6.1.3–v8.0.4