ThinkPHP 远程命令执行漏洞修复-20181211

  • 2018-12-11 16:23:53
  • 栏目:CLARK
  • 1053 次浏览
【漏洞详情】
由于 ThinkPHP 框架对控制器名没有进行足够的检测,在没有开启强制路由的情况下,攻击者可能利用该问题植入后门。
【风险等级】
高风险
【漏洞风险】
远程命令执行
【影响版本】
目前已知受影响版本如下:
ThinkPHP 5.0.x 系列: 5.0.23 之前的所有版本
ThinkPHP 5.1.x 系列: 5.1.31 之前的所有版本
【安全版本】
ThinkPHP 5.0.23 版本
ThinkPHP 5.1.31 版本
【修复建议】
目前官方已经发布新版本进行了统一修复,如在受影响范围,建议参照【安全版本】及时进行加固或升级操作。
官方修复通知:https://blog.thinkphp.cn/869075


版本查看方法:
5.0 可在 base.php 内中查看版本号,如:define('THINK_VERSION', '5.0.23');
5.1 可在 library/think/App.php 内中查看版本号,如:const VERSION = '5.1.30 LTS';
【备注】建议您在升级前做好数据备份工作,避免出现意外。
【漏洞参考】
1)官方通告:https://blog.thinkphp.cn/869075
转载请说明出处,本站交流QQ群:648120877

评论