Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Thinkphp (CVE-2024-48112)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
30/10/2024
Última modificación:
17/06/2025

Descripción

Una vulnerabilidad de deserialización en el componente \controller\Index.php de Thinkphp v6.1.3 a v8.0.4 permite a los atacantes ejecutar código arbitrario.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:thinkphp:thinkphp:*:*:*:*:*:*:*:* 6.1.3 (incluyendo) 8.0.4 (incluyendo)