一、 漏洞 CVE-2024-44902 基础信息
漏洞信息
# N/A
## 概述
Thinkphp v6.1.3 到 v8.0.4 版本中存在反序列化漏洞,允许攻击者执行任意代码。
## 影响版本
- Thinkphp v6.1.3 到 v8.0.4
## 细节
该漏洞源于应用程序中的反序列化功能。攻击者可以通过精心构造的恶意数据触发反序列化过程,从而执行任意代码。
## 影响
攻击者可以利用此漏洞在受影响系统上执行任意代码,可能造成严重的安全影响,如数据泄露、系统控制权被夺取等。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞存在于Thinkphp的6.1.3至8.0.4版本中,由于反序列化过程中的安全缺陷,允许攻击者执行任意代码。这种类型的漏洞通常出现在服务端,因为服务端需要处理客户端发送的数据,如果数据被恶意构造并反序列化,可能会导致严重的安全问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A deserialization vulnerability in Thinkphp v6.1.3 to v8.0.4 allows attackers to execute arbitrary code.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
ThinkPHP 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
顶想信息科技 ThinkPHP是中国顶想信息科技公司的一套基于PHP的、开源的、轻量级Web应用程序开发框架。 ThinkPHP v6.1.3版本至v8.0.4版本存在安全漏洞,该漏洞源于存在反序列化漏洞,允许攻击者执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-44902 的公开POC
三、漏洞 CVE-2024-44902 的情报信息
标题: 分销商城系统_开源商城系统_java商城系统_多商户商城系统开发_tpshop开源B2C商城 -- 🔗来源链接
标签:
标题: GitHub - fru1ts/CVE-2024-44902 -- 🔗来源链接
标签:
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. **漏洞编号**:CVE-2024-44902 2. **受影响的版本范围**:Thinkphp v6.1.3 到 v8.0.4 3. **漏洞类型**:反序列化漏洞 4. **漏洞描述**:在 Thinkphp v6.1.3 到 v8.0.4 中,反序列化漏洞允许攻击者执行任意代码。 5. **漏洞利用条件**: - Thinkphp 框架应该安装了 Memcached 扩展。 - 需要在 app\controller\Index.php 中添加新的反序列化端点。 6. **代码示例**: - 添加新的反序列化端点的代码示例。 - 生成payload的代码示例。 7. **漏洞利用结果**:使用payload进行反序列化可以导致 RCE(远程代码执行)。 这些信息可以帮助开发者了解漏洞的性质、受影响的范围以及如何利用漏洞进行攻击。
- https://nvd.nist.gov/vuln/detail/CVE-2024-44902
四、漏洞 CVE-2024-44902 的评论
暂无评论