【安全预警】 ThinkPHP 5.0.x 版本远程命令执行漏洞的通知

  • A+
所属分类:安全漏洞

【漏洞详情】

  由于 ThinkPHP 5.0.x 框架对用户输入没有做足够的安全性验证,攻击者可以通过“表单伪装变量”进行变量覆盖实现对任意函数的调用,从而通过$_POST作为函数的参数传入危险指令,最终实现远程命令执行。

【风险等级】

   高风险

 

【安全预警】 ThinkPHP 5.0.x 版本远程命令执行漏洞的通知

【漏洞风险】

  远程命令执行

 

【影响版本】

  目前已知受影响版本如下:

  ThinkPHP 5.0.x 系列: 5.0.24 之前的所有版本

 

【安全版本】

  ThinkPHP 5.0.24 版本

 

【修复建议】

  目前官方已经发布新版本进行了统一修复,如在受影响范围,建议参照【安全版本】及时进行加固或升级操作。

  新版本下载地址:https://github.com/top-think/framework/releases 

  版本查看方法:

  5.0 可在 base.php 内中查看版本号,如:define('THINK_VERSION', '5.0.23');

【备注】建议您在升级前做好数据备份工作,避免出现意外。

 

【漏洞参考】

官方公告:https://github.com/top-think/framework/releases



参考:腾讯云

本文始发于微信公众号(飓风网络安全):【安全预警】 ThinkPHP 5.0.x 版本远程命令执行漏洞的通知

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: