qcubed 反序列化漏洞

漏洞信息

漏洞名称： qcubed 反序列化漏洞

漏洞编号：

• CVE： CVE-2020-24914

漏洞类型： 反序列化

漏洞等级： 严重

漏洞描述： ### 受影响产品
qcubed是一个基于PHP的快速开发框架，旨在帮助开发者快速构建Web应用程序。它广泛应用于各种Web开发项目中，特别是在需要快速开发和部署的场景下。由于其易用性和灵活性，qcubed在开发者社区中有一定的用户基础。

漏洞说明

该漏洞属于反序列化漏洞，具体存在于qcubed 3.1.1及之前所有版本的profile.php文件中。攻击者可以通过构造恶意的POST请求，利用未经验证的反序列化操作，实现PHP对象注入，进而执行任意代码。这种漏洞的根本原因在于应用程序在处理用户输入时，未对反序列化的数据进行充分的验证和过滤，导致攻击者可以注入恶意对象。

影响分析

此漏洞的安全风险极高，被评为“严重”级别。攻击者无需身份验证即可远程利用此漏洞，执行任意代码，完全控制受影响的系统。这可能导致数据泄露、服务中断、甚至服务器被完全接管。由于漏洞利用简单且影响广泛，攻击者可以自动化攻击过程，对未打补丁的系统构成严重威胁。因此，建议所有使用qcubed框架的用户立即升级到安全版本，或采取其他缓解措施以防止潜在的攻击。

产品厂商： qcubed

产品名称： qcubed

影响版本： <= 3.1.1

来源： https://github.com/projectdiscovery/nuclei-templates/issues/12626

类型： projectdiscovery/nuclei-templates:github issues

来源概述

Description:

qcubed 3.1.1 and all versions contain a PHP object injection caused by unserializing untrusted POST data in profile.php, letting unauthenticated attackers execute arbitrary code via crafted POST requests.

Severity: Critical

POC:

• http://seclists.org/fulldisclosure/2021/Mar/28
• https://tech.feedyourhead.at/content/QCubed-PHP-Object-Injection-CVE-2020-24914
• https://www.ait.ac.at/themen/cyber-security/pentesting/security-advisories/ait-sa-20210215-01

KEV: True

Shodan Query: NA

Acceptance Criteria: The template must include a complete POC and should not rely solely on version-based detection. Contributors are required to provide debug data(-debug) along with the template to help the triage team with validation or can also share a vulnerable environment like docker file.

Rewards will only be given once the template is fully validated by the team. Templates that are incomplete or invalid will not be accepted. Avoid adding code templates for CVEs that can be achieved using HTTP, TCP, or JavaScript. Such templates are blocked by default and won’t produce results, so we prioritize creating templates with other protocols unless exceptions are made.

You can check the FAQ for the Nuclei Templates Community Rewards Program here.