CVSS: 10.0EPSS: 1%CPEs: 1EXPL: 1CVE-2021-36567
https://notcve.org/view.php?id=CVE-2021-36567
06 Dec 2021 — ThinkPHP v6.0.8 was discovered to contain a deserialization vulnerability via the component League\Flysystem\Cached\Storage\AbstractCache. Se ha detectado que ThinkPHP versión v6.0.8, contiene una vulnerabilidad de deserialización por medio del componente League\Flysystem\Cached\Storage\AbstractCache • https://github.com/top-think/framework/issues/2561 • CWE-502: Deserialization of Untrusted Data •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-20120
https://notcve.org/view.php?id=CVE-2020-20120
28 Sep 2021 — ThinkPHP v3.2.3 and below contains a SQL injection vulnerability which is triggered when the array is not passed to the "where" and "query" methods. ThinkPHP versiones v3.2.3 y por debajo, contienen una vulnerabilidad de inyección SQL que es desencadenada cuando no se pasa el array a los métodos "where" y "query" • https://github.com/top-think/thinkphp/issues/553 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.3EPSS: 97%CPEs: 3EXPL: 6CVE-2019-9082 – ThinkPHP Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2019-9082
24 Feb 2019 — ThinkPHP before 3.2.4, as used in Open Source BMS v1.1.1 and other products, allows Remote Command Execution via public//?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= followed by the command. ThinkPHP, en versiones anteriores a la 3.2.4, tal y como se emplea en Open Source BMS v1.1.1 y otros productos, permite la ejecución remota de comandos mediante public//?s=index/\think\app/invokefunctionfunction=call_user_func_arrayvars[0]=systemvars[1][]=, seguido por el co... • https://packetstorm.news/files/id/151967 • CWE-94: Improper Control of Generation of Code ('Code Injection') CWE-306: Missing Authentication for Critical Function •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-18546
https://notcve.org/view.php?id=CVE-2018-18546
21 Oct 2018 — ThinkPHP 3.2.4 has SQL Injection via the order parameter because the Library/Think/Db/Driver.class.php parseOrder function mishandles the key variable. ThinkPHP 3.2.4 tiene una inyección SQL mediante el parámetro order debido a que la función parseOrder en Library/Think/Db/Driver.class.php gestiona de manera incorrecta la variable key. • https://98587329.github.io/2018/10/09/thinkphp%E6%B3%A8%E5%85%A5%E5%88%86%E6%9E%90 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-18530
https://notcve.org/view.php?id=CVE-2018-18530
19 Oct 2018 — ThinkPHP 5.1.25 has SQL Injection via the count parameter because the library/think/db/Query.php aggregate function mishandles the aggregate variable. NOTE: a backquote character is required in the attack URI. ThinkPHP 5.1.25 tiene una inyección SQL mediante el parámetro count debido a que la función aggregate en library/think/db/Query.php gestiona de manera incorrecta la variable aggregate. NOTA: se requiere un carácter de acento grave en el URI del ataque. • https://www.kingkk.com/2018/10/Thinkphp-%E8%81%9A%E5%90%88%E6%9F%A5%E8%AF%A2%E6%BC%8F%E6%B4%9E/#ThinkPHP5-lt-5-1-25 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-18529
https://notcve.org/view.php?id=CVE-2018-18529
19 Oct 2018 — ThinkPHP 3.2.4 has SQL Injection via the count parameter because the Library/Think/Db/Driver/Mysql.class.php parseKey function mishandles the key variable. NOTE: a backquote character is not required in the attack URI. ThinkPHP 3.2.4 tiene una inyección SQL mediante el parámetro count debido a que la función parseKey en Library/Think/Db/Driver/Mysql.class.php gestiona de manera incorrecta la variable key. NOTA: no se requiere un carácter de acento grave en el URI del ataque. • https://www.kingkk.com/2018/10/Thinkphp-%E8%81%9A%E5%90%88%E6%9F%A5%E8%AF%A2%E6%BC%8F%E6%B4%9E/#ThinkPHP3-lt-3-2-4 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-17566
https://notcve.org/view.php?id=CVE-2018-17566
26 Sep 2018 — In ThinkPHP 5.1.24, the inner function delete can be used for SQL injection when its WHERE condition's value can be controlled by a user's request. En ThinkPHP 5.1.24, la función interna delete puede utilizarse para una inyección SQL cuando su valor de la condición WHERE puede ser controlado por la petición de un usuario. • https://github.com/top-think/think/issues/858 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 1CVE-2018-16385
https://notcve.org/view.php?id=CVE-2018-16385
03 Sep 2018 — ThinkPHP before 5.1.23 allows SQL Injection via the public/index/index/test/index query string. ThinkPHP en versiones anteriores a la 5.1.23 permite la inyección SQL mediante la cadena de consulta public/index/index/test/index. • https://exchange.xforce.ibmcloud.com/vulnerabilities/149288 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2018-10225
https://notcve.org/view.php?id=CVE-2018-10225
19 Apr 2018 — thinkphp 3.1.3 has SQL Injection via the index.php s parameter. thinkphp 3.1.3 tiene una inyección SQL mediante el parámetro s en index.php. • http://www.blcat.cn/post-39.html • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •