CVE-2024-0603: ZhiCms giftcontroller.php deserialization

7.3 CVSS

Description

A vulnerability classified as critical has been found in ZhiCms up to 4.0. This affects an unknown part of the file app/plug/controller/giftcontroller.php. The manipulation of the argument mylike leads to deserialization. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-250839. Es wurde eine Schwachstelle in ZhiCms bis 4.0 entdeckt. Sie wurde als kritisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Datei app/plug/controller/giftcontroller.php. Mittels Manipulieren des Arguments mylike mit unbekannten Daten kann eine deserialization-Schwachstelle ausgenutzt werden. Umgesetzt werden kann der Angriff über das Netzwerk. Der Exploit steht zur öffentlichen Verfügung.

Classification

CVE ID: CVE-2024-0603

CVSS Base Severity: HIGH

CVSS Base Score: 7.3

CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Problem Types

CWE-502 Deserialization

Affected Products

Vendor: n/a

Product: ZhiCms

Exploit Prediction Scoring System (EPSS)

EPSS Score: 0.21% (probability of being exploited)

EPSS Percentile: 43.17% (scored less or equal to compared to others)

EPSS Date: 2025-06-07 (when was this score calculated)

Stakeholder-Specific Vulnerability Categorization (SSVC)

SSVC Exploitation: none

SSVC Technical Impact: partial

SSVC Automatable: true

References

https://nvd.nist.gov/vuln/detail/CVE-2024-0603
https://vuldb.com/?id.250839
https://vuldb.com/?ctiid.250839
https://note.zhaoj.in/share/n3QsNbORUR0e

Timeline

2025-06-02 16:40:12 UTC
CVE

ZhiCms giftcontroller.php deserialization