点击关注「零时科技」,实时获取区块链安全最新动态!
ThinkPHP5中存在远程代码执行漏洞,攻击者可利用该漏洞获取系统权限。零时科技建议使用该框架的数字资产交易平台自查是否收到漏洞影响,避免遭到黑客攻击造成损失。
1漏洞概述
ThinkPHP 是一个免费开源的,快速、简单的面向对象的 轻量级PHP开发框架 ,是为了敏捷WEB应用开发和简化企业应用开发而诞生的,已经成长为国内最领先和最具影响力的WEB应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。
ThinkPHP5中存在远程代码执行漏洞,该漏洞是由于框架中处理请求的关键类Request(thinkphp/library/think/Request.php)中存在设计缺陷导致远程代码执行,最终攻击者可利用该漏洞获取系统权限。
2漏洞影响
漏洞类型: 远程代码执行漏洞
危险等级: 高危
受影响版本:5.00-5.0.23
利用条件:低,在受影响版本内即可
3漏洞描述
中存在远程代码执行漏洞,该漏洞是由于框架中处理请求的关键类Request(thinkphp/library/think/Request.php)中存在设计缺陷,最终导致传入参数通过call_user_func来实现远程代码执行,恶意攻击者可利用该漏洞获取系统权限。
4修复建议
目前官方已经修复漏洞并升级到新版5.0.24,如果您有使用ThinkPHP 并且在受影响版本范围,请到官网下载升级到ThinkPHP 5.0.24 及以上最新版本修复该漏洞,建议在不影响正常业务时间段进行修复。
下载地址:https://github.com/top-think/think/releases
如果暂时无法进行升级,可以参考官方给出的修复漏洞的补丁,自行增加相关代码。
更新地址:https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003
缓解措施:
编辑 library/think/Request.php 文件,将以下部分
修改为:
注:升级后请相关业务人员或者维护人员注意测试网站功能是否正常。
零时科技
NoneAge
深圳零时科技有限公司,专注于区块链安全领域。公司团队由从事安全技术研究和安全服务多年且经验丰富的高级网络安全专家组成,为客户提供专业的安全服务和安全解决方案。
原文始发于微信公众号(零时科技):【漏洞预警】ThinkPHP 5 远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论