ThinkPHP命令执行

admin 2024年12月6日17:18:58评论8 views字数 582阅读1分56秒阅读模式

0x00概述

ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。

近日,从官方渠道获取到ThinkPHP安全更新的相关信息。

0x01漏洞详情

Thinkphp在开启了多语言功能时,攻击者可以在未授权情况下,构造恶意参数并结合目录穿越实现文件包含,在部分场景下通过进一步利用,包含其它php脚本文件实现远程代码执行。

Thinkphp默认不开启多语言支持,一些基于thinkphp开发的系统可能会配置该选项。

0x02影响版本

6.0.1 <= ThinkPHP <= 6.0.13

ThinkPHP 5.0.x

ThinkPHP 5.1.x

0x03参考链接

https://blog.thinkphp.cn/3078655

0x04修复建议

当前官方已发布受影响版本的对应补丁,建议受影响的用户获取官网V6.0.14或者V5.1.42的补丁包,进行升级即可。

链接如下:

https://github.com/top-think/framework/releases/tag/v6.0.14

https://github.com/top-think/framework/releases/tag/v5.1.42

原文始发于微信公众号(信安百科):ThinkPHP命令执行

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月6日17:18:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ThinkPHP命令执行https://cn-sec.com/archives/1980170.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息