CVE-2018-20062
CVE-2018-20062
Em resumo
NoneCms V1.3 permite que atacantes executem código prejudicial no servidor manipulando um parâmetro de filtro na URL. Isso permite que qualquer pessoa tome controle total do site sem precisar de acesso especial.
Detalhe técnico
Vulnerabilidade de execução remota de código no NoneCms V1.3 via parâmetro filter não sanitizado em thinkphp/library/think/App.php. Atacantes podem injetar código PHP arbitrário através de strings de consulta malformadas explorando validação de entrada insuficiente, requerendo apenas acesso de rede ao endpoint vulnerável.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An issue was discovered in NoneCms V1.3. thinkphp/library/think/App.php allows remote attackers to execute arbitrary PHP code via crafted use of the filter parameter, as demonstrated by the s=index/\think\Request/input&filter=phpinfo&data=1 query string.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 5
githubgithub.com/NS-Sp4ce/thinkphp5.XRce★ 6githubgithub.com/yilin1203/CVE-2018-20062★ 2githubgithub.com/shenhui35/RedArrow★ 2cve_referencepacketstormsecurity.com/files/157218/ThinkPHP-5.0.23-Remote-Code-Execution.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/48333não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →