ThinkPHP 5.0.* 遠(yuǎn)程命令執(zhí)行漏洞預(yù)警
2019-01-11 19:17:50
2019年01月11日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到關(guān)于 ThinkPHP5 存在嚴(yán)重漏洞���,該漏洞可導(dǎo)致遠(yuǎn)程命令代碼執(zhí)行�����;由于其框架的Request類中存在設(shè)計缺陷�����,最終導(dǎo)致攻擊者可以利用該漏洞獲得系統(tǒng)權(quán)限�����。
漏洞編號:
暫未分配CVE編號
漏洞名稱:
ThinkPHP 5.0.* 遠(yuǎn)程命令執(zhí)行漏洞
漏洞危害等級:
嚴(yán)重
漏洞描述:
漏洞主要出現(xiàn)在ThinkPHP 的處理請求的關(guān)鍵類:Request (thinkphp/library/think/Request.php)�,該類可以實(shí)現(xiàn)對HTTP請求的一些設(shè)置,其中成員方法method用來獲取當(dāng)前請求類型����,通過構(gòu)造惡意的請求,獲取服務(wù)器權(quán)限��。
影響版本:
ThinkPHP 5.0.x:5.00-5.0.23
修復(fù)方案:
請到官網(wǎng)下載升級到ThinkPHP 5.0.24 以上最新版本:https://github.com/top-think/think/releases
參考鏈接:
https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2019/01/11