CRITICAL🇵🇱 Wersja polska

CVE-2018-25270

CVSS 9.3v4.0pub. 2026-04-22upd. 2026-04-27

ThinkPHP 5.0.23 contains a remote code execution vulnerability that allows unauthenticated attackers to execute arbitrary PHP code by invoking functions through the routing parameter. Attackers can craft requests to the index.php endpoint with malicious function parameters to execute system commands with application privileges.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Thinkphp

    APP
    Thinkphp
    5.1.315.0.0 – 5.0.23 (bez)
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
RCEAuth Bypass
CWE
References

Related vulnerabilities

CVE-2025-63888CRITICAL9.8PL ✓ten sam produkt

RCE w funkcji read sterownika szablonów ThinkPHP 5.0.24

CVE-2025-50707CRITICAL9.8PL ✓ten sam produkt

RCE w ThinkPHP 3 — wykonanie kodu przez komponent index.php

CVE-2025-50706CRITICAL9.8PL ✓ten sam produkt

RCE w ThinkPHP 5.1 przez funkcję routecheck

CVE-2024-48112CRITICAL9.8PL ✓ten sam produkt

ThinkPHP: RCE poprzez deserializację w Index.php (CVE-2024-48112)

CVE-2024-44902CRITICAL9.8PL ✓ten sam produkt

Krytyczna podatność deserialization RCE w ThinkPHP v6.1.3–v8.0.4