Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01480

Опубликовано: 12 янв. 2019
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость фреймворка ThinkPHP связана с неверным управлением генерацией кода при использовании символов-разделителей «\» в имени контроллера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды

Вендор

Сообщество свободного программного обеспечения
Zzzcms

Наименование ПО

ThinkPHP
Open Source Background Manager System
zzzphp

Версия ПО

до 5.0.23 (ThinkPHP)
1.1.1 (Open Source Background Manager System)
1.6.1 (zzzphp)

Тип ПО

Сетевое средство
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для ThinkPHP:
https://github.com/top-think/framework/releases
Для zzzphp:
http://www.zzzcms.com/index.html
Для Open Source Background Manager System:
https://github.com/xiayulei/open_source_bms/releases

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.94218
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2019-9082

CVSS3: 8.8
nvd
почти 7 лет назад

ThinkPHP before 3.2.4, as used in Open Source BMS v1.1.1 and other products, allows Remote Command Execution via public//?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= followed by the command.

github логотип

GHSA-qpgr-mp84-gp92

CVSS3: 8.8
github
больше 3 лет назад

ThinkPHP before 3.2.4, as used in Open Source BMS v1.1.1 and other products, allows Remote Command Execution via public//?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= followed by the command.

EPSS

Процентиль: 100%
0.94218
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2