ThinkPHP远程代码执行漏洞风险提示

admin
admin
admin
102350
文章
87
评论
2022年12月27日17:13:46评论27 views字数 705阅读2分21秒阅读模式
ThinkPHP远程代码执行漏洞风险提示


漏洞公告

近日,安恒信息CERT监测到ThinkPHP官方修复了一处远程代码执行漏洞。该漏洞是由于在ThinkPHP开启了多语言功能时,允许未经身份验证的远程攻击者通过构造恶意数据进行远程代码执行攻击,获取服务器最高权限。该漏洞已发现在野利用,目前官方已发布安全版本,建议受影响的用户尽快采取安全措施。


参考链接:

https://blog.thinkphp.cn/3078655



影响范围


受影响版本:

6.0.1 < ThinkPHP <= 6.0.13

ThinkPHP 5.0.x

ThinkPHP 5.1.x


安全版本:

ThinkPHP >= 6.0.14

ThinkPHP >= 5.1.42




漏洞描述


ThinkPHP 是一个免费开源的、快速、简单的面向对象的轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。
ThinkPHP远程代码执行漏洞:该漏洞是由于在ThinkPHP开启了多语言功能时,允许未经身份验证的远程攻击者通过构造恶意数据进行远程代码执行攻击,获取服务器最高权限。
细节是否公开 POC状态 EXP状态 在野利用
已公开 未公开
 已发现






缓解措施


高危:目前漏洞细节和利用代码已公开,并存在在野利用,官方已发布新版本修复了此漏洞,建议受影响用户及时升级更新到安全版本


官方建议:

1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本

下载链接:

https://github.com/top-think/framework/tags



安恒信息CERT

2022年12月

原文始发于微信公众号(安恒信息CERT):ThinkPHP远程代码执行漏洞风险提示

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月27日17:13:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ThinkPHP远程代码执行漏洞风险提示https://cn-sec.com/archives/1456021.html

发表评论

匿名网友 填写信息