據北京網絡與信息安全信息通報中心通報,近日,ThinkPHP官方(ThinkPHP是一個快速、兼容而且簡單的輕量級國產PHP開發框架)發布安全更新,用于修復一個嚴重的遠程代碼執行漏洞。
尊敬的用戶您好!
據北京網絡與信息安全信息通報中心通報,近日,ThinkPHP官方(ThinkPHP是一個快速、兼容而且簡單的輕量級國產PHP開發框架)發布安全更新,用于修復一個嚴重的遠程代碼執行漏洞。此次版本更新主要涉及一個安全更新,由于框架對控制器名沒有進行足夠的檢測,會導致在沒有開啟強制路由的情況下引發黑客執行遠程惡意代碼,從而獲取權限。
一、 基本情況
遠程代碼執行漏洞是用戶通過瀏覽器提交執行命令,由于服務器端沒有針對執行函數做過濾,導致在沒有指定絕對路徑的情況下就執行命令,可能會允許攻擊者通過改變 $PATH或程序執行環境的其他方面來執行一個惡意構造的代碼。
經過對官方補丁分析,發現該程序未對控制器進行過濾,導致攻擊者可以通過引入\\符號來調用任意類方法,從而執行任意命令。
二、影響范圍
ThinkPHP5.0
ThinkPHP5.1
三、 網絡安全提示
針對該情況,新網提示廣大客戶及時做好以下三方面的工作:
1)及時進行更新升級。目前,ThinkPHP官方已經發布新版本修復了上述漏洞,建議使用ThinkPHP框架的用戶及時升級進行防護,具體升級方法詳見ThinkPHP官網。
2)開展自查。對信息系統開展自查,及時進行問題清零,對重要的數據、文件進行定期備份。
3)加強漏洞監測。
附:官方修復辦法:https://blog.thinkphp.cn/869075
免責聲明:本文內容由互聯網用戶自發貢獻自行上傳,本網站不擁有所有權,也不承認相關法律責任。如果您發現本社區中有涉嫌抄襲的內容,請發送郵件至:operations@xinnet.com進行舉報,并提供相關證據,一經查實,本站將立刻刪除涉嫌侵權內容。
增值電信業務經營許可證:B1.B2-20140435 京B1.B2-20070152 域名注冊服務批文號:京信信管發〔2019〕94號 京ICP證000012號
京公網安備11030102000056號
京ICP備09061941號-4
Copyright©1993-2021 北京新網數碼信息技術有限公司 版權所有
商品已成功加入購物車
