一、 漏洞 CVE-2024-54136 基础信息
漏洞标题
ClipBucket-v5版本5.5.1修订199及以下中的不受信反序列化漏洞
来源:AIGC 神龙大模型
漏洞描述信息
ClipBucket V5 是一个基于PHP的开源视频托管平台。在 ClipBucket-v5 版本 5.5.1 修订版 199 及以下版本中,存在一个 PHP 反序列化漏洞。该漏洞存在于 upload/upload.php 文件中,用户通过 collection get 参数提供的输入直接传递给了 unserialize 函数。因此,攻击者可以构造恶意的 PHP 序列化对象,并利用 gadget chains 导致应用程序出现意外行为。此漏洞在 5.5.1 修订版 200 中已被修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
可信数据的反序列化
来源:AIGC 神龙大模型
漏洞标题
Untrusted Deserialization in ClipBucket-v5 Version 5.5.1 Revision 199 and Below
来源:美国国家漏洞数据库 NVD
漏洞描述信息
ClipBucket V5 provides open source video hosting with PHP. ClipBucket-v5 Version 5.5.1 Revision 199 and below is vulnerable to PHP Deserialization vulnerability. The vulnerability exists in upload/upload.php where the user supplied input via collection get parameter is directly provided to unserialize function. As a result, it is possible for an adversary to inject maliciously crafted PHP serialized object and utilize gadget chains to cause unexpected behaviors of the application. This vulnerability is fixed in 5.5.1 Revision 200.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
ClipBucket 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ClipBucket是MacWarrior开源的一个开源且可免费下载的 PHP 脚本。用于共享视频网站。 ClipBucket 5.5.1-199及之前版本存在安全漏洞,该漏洞源于容易受到PHP反序列化漏洞的影响,且输入清理不当,攻击者有可能注入恶意制作的PHP序列化对象并利用小工具链导致应用程序出现意外行为。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-54136 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-54136 的情报信息