CVE-2019-9082
CVE-2019-9082
Em resumo
O ThinkPHP anterior à versão 3.2.4 possui uma falha que permite que atacantes executem comandos arbitrários no servidor através de uma URL especialmente crafted. O framework não restringe adequadamente quais funções podem ser chamadas, permitindo que um invasor execute comandos do sistema sem permissão.
Detalhe técnico
Execução Remota de Comando via restrição inadequada de invocação de funções no ThinkPHP. Atacantes contornam controles de acesso manipulando parâmetros de URL para invocar call_user_func_array com comandos de sistema arbitrários. Não requer autenticação; exploração bem-sucedida concede execução de código completa com privilégios da aplicação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
ThinkPHP before 3.2.4, as used in Open Source BMS v1.1.1 and other products, allows Remote Command Execution via public//?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= followed by the command.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 4
cve_referencepacketstormsecurity.com/files/157218/ThinkPHP-5.0.23-Remote-Code-Execution.htmlnão verificadocve_referencewww.exploit-db.com/exploits/46488/não verificadoexploitdbwww.exploit-db.com/exploits/48333não verificadoexploitdbwww.exploit-db.com/exploits/46488não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →