【漏洞预警】ThinkPHP5远程代码执行高危漏洞

2018-12-14 17:27:37
尊敬的用户

20181210日,京东云安全团队监测ThinkPHP官方发布安全更新,披露了一个高危安全漏洞,攻击者可以低成本远程执行命令,受影响的版本为:5.05.1

【漏洞详情】

由于 ThinkPHP 框架对控制器名没有进行足够严格的检测,导致在没有开启强制路由的情况下,攻击者可以在服务端执行任意恶意代码。

【风险等级】

严重

【影响范围】

ThinkPHP 5.0系列 < 5.0.23

ThinkPHP 5.1系列 < 5.1.31

【修复建议】

升级ThinkPHP至安全版本

【缓解建议】

如果暂时无法更新到最新版本,请开启强制路由并添加相应未定义路由,或者参考 commit 的修改增加相关代码。

【参考链接】

https://blog.thinkphp.cn/869075


京东智联云团队

2018-12-14 17:27:37