CVE-2018-25270
CriticalSummary
ThinkPHP w wersji 5.0.23 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnego kodu PHP poprzez wywoływanie funkcji za pomocą parametru routingu. Atakujący mogą przygotować żądania do punktu końcowego index.php z złośliwymi parametrami funkcji, aby wykonać polecenia systemowe z uprawnieniami aplikacji.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonywanie kodu, co może prowadzić do przejęcia kontroli nad systemem. Wykorzystanie tej luki może skutkować utratą danych lub naruszeniem integralności systemu.
Recommendation
Zaleca się aktualizację ThinkPHP do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe zabezpieczenia, takie jak filtrowanie i walidacja parametrów wejściowych.
Original NVD description (English source)
ThinkPHP 5.0.23 contains a remote code execution vulnerability that allows unauthenticated attackers to execute arbitrary PHP code by invoking functions through the routing parameter. Attackers can craft requests to the index.php endpoint with malicious function parameters to execute system commands with application privileges.

