ThinkPHP 5.0.* 遠(yuǎn)程命令執(zhí)行漏洞預(yù)警
2019-01-11 19:17:50
2019年01月11日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到關(guān)于 ThinkPHP5 存在嚴(yán)重漏洞���,該漏洞可導(dǎo)致遠(yuǎn)程命令代碼執(zhí)行��;由于其框架的Request類中存在設(shè)計(jì)缺陷�����,最終導(dǎo)致攻擊者可以利用該漏洞獲得系統(tǒng)權(quán)限�。
漏洞編號(hào):
暫未分配CVE編號(hào)
漏洞名稱:
ThinkPHP 5.0.* 遠(yuǎn)程命令執(zhí)行漏洞
漏洞危害等級(jí):
嚴(yán)重
漏洞描述:
漏洞主要出現(xiàn)在ThinkPHP 的處理請(qǐng)求的關(guān)鍵類:Request (thinkphp/library/think/Request.php)����,該類可以實(shí)現(xiàn)對(duì)HTTP請(qǐng)求的一些設(shè)置,其中成員方法method用來(lái)獲取當(dāng)前請(qǐng)求類型���,通過(guò)構(gòu)造惡意的請(qǐng)求����,獲取服務(wù)器權(quán)限����。
影響版本:
ThinkPHP 5.0.x:5.00-5.0.23
修復(fù)方案:
請(qǐng)到官網(wǎng)下載升級(jí)到ThinkPHP 5.0.24 以上最新版本:https://github.com/top-think/think/releases
參考鏈接:
https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2019/01/11