Trusted DesignCVE-2018-20062 の詳細
CVEの情報
説明:
An issue was discovered in NoneCms V1.3. thinkphp/library/think/App.php allows remote attackers to execute arbitrary PHP code via crafted use of the filter parameter, as demonstrated by the s=index/\think\Request/input&filter=phpinfo&data=1 query string.
CVE更新日: 2018-12-11 18:29:00.197000
CVSSバージョン: 3.1
CVSSスコア: 9.8
KEVの情報
KEV更新日: 2021-11-03
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.943070000
EPSS更新日: 2026-06-12 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE-2018-20062について、以下の観点で解説します。
1. 脆弱性の概要
CVE-2018-20062は、中国製のオープンソースPHPフレームワークであるThinkPHPに存在するリモートコード実行(RCE)の脆弱性です。攻撃者はこの脆弱性を悪用して、細工された
filterパラメータを使用することで、任意のPHPコードをリモートで実行できます。これは、s=index/\think\Request/input&filter=phpinfo&data=1のようなクエリ文字列によって実証されています。1.1 影響
この脆弱性が悪用されると、攻撃者は対象のアプリケーションおよび基盤となるサーバーを完全に侵害する可能性があります。悪意のあるPHPコードを注入することで、コマンドの実行、機密データへのアクセス、マルウェアのインストールが可能になります。 攻撃者は、この脆弱性を利用して、IoTボットネット(Miori、IZ1H9、APEP、Hakai、Yowai、Hide 'N Seek、Miraiの亜種など)、暗号通貨マイナー、Windowsマルウェアなど、さまざまな種類のマルウェアを展開しています。 また、バックドア(SpeakUp、Dama Webシェルなど)をシステムに植え付けることにも利用されています。
1.2 深刻度
この脆弱性のCVSS v3.1基本評価スコアは9.8(Critical:緊急)であり、機密性、完全性、可用性に対して深刻な潜在的影響があることを示しています。
2. 対象となる環境
2.1 影響を受けるOSバージョン
この脆弱性はThinkPHPフレームワークに存在するため、特定のOSバージョンを直接ターゲットにするものではありません。しかし、脆弱なThinkPHPバージョンで構築されたアプリケーションが影響を受けます。特にIoTデバイスやLinuxシステムがターゲットになっていることが観測されています。
2.2 影響を受ける設定
ThinkPHPバージョン5.0.23および5.1.31より前のバージョンが影響を受けます。 具体的には、
thinkphp/library/think/App.phpファイルにおいて、細工されたfilterパラメータを通じてリモートの攻撃者が任意のPHPコードを実行できる問題があります。 NoneCms V1.3やBMSなど、このフレームワークを基盤とするコンテンツ管理システム(CMS)も影響を受けます。3. 影響を受けた時の兆候
影響を受けた際の兆候としては、以下のようなものが挙げられます。 * SpeakUpやDama Webシェルなどのバックドアがシステムにインストールされる。 * IoTボットネット(Miori、IZ1H9、APEP、Hakai、Yowai、Hide 'N Seek、Miraiの亜種など)、暗号通貨マイナー、Windowsマルウェアなどの多様なマルウェアが展開される。 * 攻撃者の制御下にあるリモートサーバーから難読化されたWebシェル(例:
public.txtがroeter.phpとして保存される)がダウンロードされる。 * Webシェルを通じて、ファイルシステムのナビゲーション、ファイルの編集/削除、タイムスタンプの変更、ファイルのアップロード、OSやPHPのバージョン情報などの重要なシステムデータの収集が行われる。 * ネットワークポートスキャンやデータベース、サーバーデータの窃取が行われる。4. 推奨対策
4.1 本対策
4.2 暫定回避策(緩和策)
他に解説すべき観点
参照したサイト: * ThinkPHP Remote Code Execution Vulnerability Used To Deploy Variety of Malware (CVE-2018-20062) - Tenable * CVE-2018-20062 Detail - NVD * CVE-2018-20062: ThinkPHP 5.0.23 Remote Code Execution - Rapid7 Vulnerability Database * CVE-2018-20062 - CVE Record * Hide 'N Seek ボットネット さらなるエクスプロイト追加で攻撃力を増強 * CVE-2018-20062 - Exploits & Severity - Feedly * ThinkPHP の古い脆弱性 CVE-2018-20062/CVE-2019-9082:中国の脅威アクターに悪用される - IoT OT Security News * 2024:古い CVE が新たなターゲットに — ThinkPHP の悪用が活発化 - Akamai * ネットワーク攻撃の傾向: Internet of Threats (脅威のインターネット) - Palo Alto Networks Unit 42 * ThinkPHP RCE Vulnerabilities Actively Exploited in the Wild - Threat Signal Report | FortiGuard Labs * ThinkPHP 원격코드 실행 취약점 (CVE-2018-20062) - 보안둥이 * CVE-2018-20062 - Tenable * ThinkPHPの古い脆弱性を悪用したサイバー攻撃を確認、注意を - マイナビニュース * 情報セキュリティ白書 - IPA * 2024: Old CVEs, New Targets — Active Exploitation of ThinkPHP - Akamai * ThinkPHP 5.0.23 - Remote Code Execution (CVE-2018-20062) - Vulnerability & Exploit Database - Pentest-Tools.com * 標的型メール訓練サービス|サイバープロテクター|三井住友海上火災保険 * 共通脆弱性識別子(CVE)の理解 - SentinelOne * 脆弱性対策情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 * ThinkPHPの複数のパラメーターのRCE | Tenable® * 【サイバーセキュリティ白書】2018年12月の脆弱性情報まとめ - 攻撃遮断くん * 標的型攻撃への対策とは?企業がおこなうべき対策を解説 - wiz LANSCOPE ブログ * メールの脅威へ対抗するために必要な「3つのポイント」とその対処法 - GSX * (25)腹が立つのもわかるけど - 脆弱性とセキュリティ対策再考 * JPCERT/CC WEEKLY REPORT 2026-03-04