PT-2021-10922 · Unknown · Thinkadmin
Deenrookie
·
Publicado
2021-01-13
·
Atualizado
2023-12-07
·
CVE-2020-23653
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
ThinkAdmin versões 4.x a 6.x
Descrição
Foi descoberta uma vulnerabilidade de deserialização insegura no ThinkAdmin, que pode levar à execução remota de código arbitrário. O problema está localizado em arquivos como “app/admin/controller/api/Update.php” e “app/wechat/controller/api/Push.php”.
Recomendações
Para as versões 4.x a 6.x do ThinkAdmin, considere desativar o acesso aos arquivos
Update.php e Push.php nos diretórios app/admin/controller/api e app/wechat/controller/api, respectivamente, até que um patch esteja disponível. Restringir o acesso a esses arquivos pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Thinkadmin