CRITICAL🇬🇧 English

CVE-2024-54135

PHP Deserialization w ClipBucket V5 — zdalne wykonanie kodu

CVSS 9.8v3.1pub. 2024-12-06upd. 2025-09-22

ClipBucket V5 w wersjach od 2.0 do 5.5.1 Revision 199 zawiera krytyczną podatność na deserializację obiektów PHP, która nie wymaga uwierzytelnienia. Atakujący może wstrzyknąć złośliwy obiekt PHP i poprzez gadget chains doprowadzić do przejęcia kontroli nad serwerem.

Pokaż oryginał (EN)

ClipBucket V5 provides open source video hosting with PHP. ClipBucket-v5 Version 2.0 to Version 5.5.1 Revision 199 are vulnerable to PHP Deserialization vulnerability. The vulnerability exists in upload/photo_upload.php within the decode_key function. User inputs were supplied to this function without sanitization via collection GET parameter and photoIDS POST parameter respectively. The decode_key function invokes PHP unserialize function as defined in upload/includes/classes/photos.class.php. As a result, it is possible for an adversary to inject maliciously crafted PHP serialized object and utilize gadget chains to cause unexpected behaviors of the application. This vulnerability is fixed in 5.5.1 Revision 200.

🤖 Analiza AI
Jak działa

Podatność znajduje się w pliku upload/photo_upload.php w funkcji decode_key, która wywołuje wbudowaną funkcję PHP unserialize (zdefiniowaną w upload/includes/classes/photos.class.php). Dane wejściowe przekazywane są do tej funkcji bez jakiejkolwiek sanityzacji — poprzez parametr GET o nazwie collection oraz parametr POST o nazwie photoIDS. Atakujący może dostarczyć spreparowany, serializowany obiekt PHP, a następnie wykorzystać dostępne gadget chains do wywołania niepożądanych zachowań aplikacji, takich jak zdalne wykonanie kodu (RCE).

Skutki

Nieuwierzytelniony atakujący może uzyskać pełną kontrolę nad serwerem — w tym poufność, integralność i dostępność danych — poprzez zdalne wykonanie dowolnego kodu (RCE) z wykorzystaniem gadget chains.

Mitygacja

Należy zaktualizować ClipBucket V5 do wersji 5.5.1 Revision 200, w której podatność została naprawiona. Poprawka dostępna jest w repozytorium GitHub projektu (commit 76a829c088f0813ab3244a3bd0036111017409b0).

Kogo dotyczy

ClipBucket V5 w wersjach od 2.0 do 5.5.1 Revision 199 (włącznie)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Oxygenz Clipbucket

    APP
    Oxygenz
    2.0 – 5.5.1-200 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2026-25728CRITICAL9.3PL ✓ten sam produkt

TOCTOU Race Condition w ClipBucket umożliwia wykonanie kodu PHP

CVE-2026-21875CRITICAL9.8PL ✓ten sam produkt

Blind SQL Injection w ClipBucket v5 — sekcja komentarzy kanału

CVE-2025-67418CRITICAL9.8PL ✓ten sam produkt

ClipBucket 5.5.2 — hardcoded domyślne dane logowania w panelu admina

CVE-2025-21624CRITICAL9.8PL ✓ten sam produkt

ClipBucket V5 — nieograniczony upload plików PHP przez funkcję playlist

CVE-2024-54136CRITICAL9.8PL ✓ten sam produkt

PHP Deserialization w ClipBucket V5 umożliwia zdalne wykonanie kodu