Katalog CVE

CVE-2024-44902

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Wysokie ryzyko
4.21%

Percentyl 90 - wyżej niż 90% wszystkich znanych CVE

Streszczenie

Podatność deserializacji w ThinkPHP w wersjach od 6.1.3 do 8.0.4 umożliwia atakującym zdalne wykonanie dowolnego kodu. Problem wynika z niebezpiecznego przetwarzania danych wejściowych podczas deserializacji.

Ocena ryzyka

Atakujący może przejąć kontrolę nad serwerem, wykraść dane lub zainstalować złośliwe oprogramowanie, co prowadzi do naruszenia poufności, integralności i dostępności systemu.

Rekomendacja

Należy natychmiast zaktualizować ThinkPHP do najnowszej dostępnej wersji, która zawiera poprawkę bezpieczeństwa. Dodatkowo zaleca się ograniczenie dostępu do aplikacji oraz wdrożenie mechanizmów walidacji danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

A deserialization vulnerability in Thinkphp v6.1.3 to v8.0.4 allows attackers to execute arbitrary code.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS