CVE-2019-9082
CVE-2019-9082
En resumen
ThinkPHP anterior a la versión 3.2.4 tiene una vulnerabilidad que permite a atacantes ejecutar comandos arbitrarios en el servidor mediante una URL especialmente diseñada. El framework no restringe adecuadamente qué funciones pueden ser invocadas, permitiendo que un atacante ejecute comandos del sistema sin autorización.
Detalle técnico
Ejecución Remota de Comando mediante restricción inadecuada de invocación de funciones en ThinkPHP. Los atacantes eluden controles de acceso manipulando parámetros de URL para invocar call_user_func_array con comandos de sistema arbitrarios. No requiere autenticación; la explotación exitosa otorga ejecución de código completa con privilegios de la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
ThinkPHP before 3.2.4, as used in Open Source BMS v1.1.1 and other products, allows Remote Command Execution via public//?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= followed by the command.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 4
cve_referencepacketstormsecurity.com/files/157218/ThinkPHP-5.0.23-Remote-Code-Execution.htmlno verificadocve_referencewww.exploit-db.com/exploits/46488/no verificadoexploitdbwww.exploit-db.com/exploits/48333no verificadoexploitdbwww.exploit-db.com/exploits/46488no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →