漏洞风险提示 | ThinkPHP 文件包含远程代码执行漏洞

ThinkPHP 是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架 ，创立于2006年初，遵循Apache2开源协议发布，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。

ThinkPHP 官方在 10 月 25 日发布了v6.0.14的版本，其中修复了一处多语言处理不当导致的安全问题：

https://blog.thinkphp.cn/3078655

12 月 9 日，长亭科技安全研究员监测到此漏洞细节被公开，目前判定此漏洞影响范围较大，受漏洞影响的客户需尽快进行安全更新升级。

ThinkPHP 在开启多语言支持的情况下存在路径穿越文件包含漏洞，在某些场景下攻击者可通过包含非预期的 PHP 脚本文件实现远程代码执行，从而可以执行恶意代码、接管服务权限。

ThinkPHP 默认不开启多语言支持，但一些基于 ThinkPHP 二次开发的框架或系统可能会配置此项从而遭受漏洞影响。

ThinkPHP 官方已在 10 月 25 日发布安全更新升级补丁，受漏洞影响的客户可通过将 ThinkPHP 升级到 v6.0.14 或 v5.1.42 安全版本进行漏洞修复。