ThinkPHP, un popolare framework PHP, è stato attivamente preso di mira a causa di una vulnerabilità di inclusione locale di file (LFI) (CVE-2022-47945) presente nelle versioni precedenti alla 6.0.14. Questo difetto consente agli attaccanti di sfruttare il parametro lang quando la funzionalità di pacchetti linguistici (lang_switch_on=true) è abilitata. I report recenti indicano che la vulnerabilità è sotto sfruttamento attivo da ottobre 2023, con attacchi provenienti da oltre 572 indirizzi IP unici. Nonostante l’ampio abuso, la vulnerabilità non è ancora stata aggiunta al catalogo KEV (Known Exploited Vulnerabilities) della CISA.
| Prodotto | ThinkPHP |
| Data | 2025-02-19 15:46:50 |
| Informazioni | Fix Available, Active Exploitation |
Riassunto tecnico
CVE-2022-47945 è una vulnerabilità critica di inclusione locale di file in ThinkPHP che consente a un attaccante remoto non autenticato di includere file locali arbitrari. Questo può portare all’esecuzione di codice remoto (RCE) se vengono inclusi file PHP sensibili come pearcmd.php. Lo sfruttamento di questa falla permette agli attaccanti di eseguire comandi di sistema, con la possibilità di compromettere completamente il server.
Raccomandazioni
- Aggiornare immediatamente ThinkPHP alla versione 6.0.14 o successiva per correggere la vulnerabilità.
- Disabilitare la funzionalità
lang_switch_onse non è necessaria. - Limitare l’accesso all’applicazione ThinkPHP e monitorare i log per rilevare attività sospette.
- Applicare regole del Web Application Firewall (WAF) per rilevare e bloccare tentativi di sfruttamento della vulnerabilità tramite il parametro
lang.