【高危安全通告】ThinkPHP多语言模块命令执行漏洞

admin 2022年12月27日16:21:29安全漏洞评论12 views1176字阅读3分55秒阅读模式

↑ 点击上方 关注我们

ThinkPHP是一个快速、简单的面向对象的轻量级PHP开发框架,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。

安全狗建议广大用户及时做好资产自查以及漏洞修复工作。


漏洞描述


ThinkPHP在开启多语言功能的情况下存在文件包含漏洞,攻击者可以通过get、header、cookie等位置传入参数,实现目录穿越+文件包含,通过pearcmd文件包含这个trick即可实现RCE。


安全通告信息


漏洞名称

Thinkphp多语言模块命令执行漏洞

高危漏洞影响版本号

v6.0.1<Thinkphp<v6.0.13

Thinkphp v5.0.x

Thinkphp v5.1.x

漏洞危害等级

高危

厂商是否已发布漏洞补丁

版本更新地址

https://github.com/top-think/framework/releases/tag/v6.0.14

安全狗总预警期数

253

安全狗发布预警日期

20221210

安全狗更新预警日期

20221210

发布者

安全狗海青实验室



安全官方建议


安全建议
1、若无必要,可关闭多语言功能,可参考文档
https://www.kancloud.cn/manual/thinkphp6_0/1037637
https://static.kancloud.cn/manual/thinkphp5/118132
2、官方已发布6.0.14、5.1.42,建议升级至安全版本。



安全狗产品解决方案


若想了解更多安全狗产品信息或有相关业务需求,可前往安全狗官网了解:https://www.safedog.cn/



01

云眼·新一代(云)主机入侵检测及安全管理系统


安全狗云眼采用Gartner提出的CWPP理念,提出了以工作负载为中心,以自动化、细粒度资产采集为基础,提供多种风险排查和漏洞发现手段,依托反杀伤链和实时入侵检测响应能力支撑企业安全防护二道防线,解决现代混合云、多云数据中心基础架构中服务器工作负载的安全需求,最终达到对已知威胁的自动响应以及对潜在威胁的检测识别。

02

云御·新一代混合式web应用防护系统


云御是一款新一代混合式Web防火墙产品,通过网络层过滤和主机应用层自保护(RASP)相结合的技术,既能够过滤传统常见的攻击又可以对异常变形和未知漏洞的高级攻击进行识别,达到双层纵深防御的效果。

03

云网·(云)主机漏洞发现及补丁修复系统


安全狗云网·发现及补丁修复系统可以为用户构建属于自己的补丁大数据仓库,用于修补可能导致安全薄弱、破坏关键系统数据或导致系统不可用的漏洞。云网不仅可以进行补丁部署,还可扫描网络漏洞、识别缺失的安全补丁和修补程序,并立即部署以降低网络空间风险。



原文始发于微信公众号(海青安全研究实验室):【高危安全通告】ThinkPHP多语言模块命令执行漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月27日16:21:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【高危安全通告】ThinkPHP多语言模块命令执行漏洞 http://cn-sec.com/archives/1456114.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: