ThinkPHP开发框架曝高危漏洞，需紧急修复！

01 漏洞概况 

微步在线通过“X漏洞奖励计划”获取到ThinkPHP开发框架命令执行漏洞的0day相关漏洞情报，攻击者可以通过此漏洞实现任意命令执行，导致系统被攻击与控制。该漏洞已在9月25日的V6.0.14被修复。ThinkPHP 是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架 ，创立于2006年初，遵循Apache2开源协议发布，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。并且拥有众多的原创功能和特性，在社区团队的积极参与下，在易用性、扩展性和性能方面不断优化和改进，已经成长为国内最领先和最具影响力的Web应用开发框架，众多的典型案例确保可以稳定用于商业以及门户级的开发。

自查检测：

此次受影响版本如下：

ThinkPHP开发框架命令执行漏洞	是否受影响
<6.0.14	是

02 漏洞评估 

公开程度：PoC未公开

利用条件：无权限要求
交互要求：0-click
漏洞危害：高危、命令执行
影响范围：ThinkPHP开发框架命令执行漏洞

03 修复方案 

1、获取官网V6.0.14的补丁包，进行升级即可。

https://github.com/top-think/framework/releases/tag/v6.0.14

2、微步在线TDP已支持相关漏洞检测，对应规则ID为：S3100031334。

3、微步在线X企业版已支持相关漏洞检测：

04 时间线 

2022.09 微步“X漏洞奖励计划”获取该漏洞相关情报
2002.09 漏洞分析与研究
2022.09 TDP支持检测
2022.09 厂商发布补丁
2022.12 X企业版支持检测
2022.12 报送监管
2022.12 微步情报局发布漏洞通告

点击下方名片，关注我们

第一时间为您推送最新威胁情报

原文始发于微信公众号（微步在线研究响应中心）：ThinkPHP开发框架曝高危漏洞，需紧急修复！