安全公告
Thinkphp5.0.*存在遠程代碼執(zhí)行漏洞。
漏洞描述
Thinkphp5.0.*存在遠程代碼執(zhí)行漏洞。攻擊者可以利用漏洞實現(xiàn)任意代碼執(zhí)行等高危操作。目前官方已經(jīng)出了補?。╤ttps://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003),漏洞出現(xiàn)在處理請求的類中。攻擊者可以控制類的屬性及類方法的調(diào)用。
影響范圍
影響以下版本:
ThinkPHP5.0 – 5.0.23
緩解措施
高危:目前網(wǎng)上已有該遠程代碼執(zhí)行漏洞的POC,請盡快升級更新官方的補丁 。目前官方已經(jīng)出了補?。╤ttps://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003)。漏洞出現(xiàn)在框架處理請求的類中。根據(jù)官方建議,可以通過git更新最新框架代碼 https://github.com/top-think/framework。
手動修復(fù)可以在/thinkphp/library/think/Request.php中增加如下代碼。
威脅推演:此漏洞為遠程代碼執(zhí)行漏洞,基于全球使用該產(chǎn)品用戶的數(shù)量和暴露在網(wǎng)上的端口情況,惡意攻擊者可能會開發(fā)針對該漏洞的自動化攻擊程序,實現(xiàn)漏洞利用成功后自動植入后門程序,并進一步釋放礦工程序或是DDOS僵尸木馬等惡意程序,從而影響到網(wǎng)站服務(wù)的正常提供。
安全運營建議:Thinkphp 歷史上已經(jīng)報過多個安全漏洞(其中也有遠程代碼執(zhí)行漏洞),建議使用該產(chǎn)品的企業(yè)經(jīng)常關(guān)注官方安全更新公告。
-
代碼
+關(guān)注
關(guān)注
30文章
4671瀏覽量
67765 -
漏洞
+關(guān)注
關(guān)注
0文章
203瀏覽量
15259 -
屬性
+關(guān)注
關(guān)注
0文章
23瀏覽量
8495
原文標題:ThinkPHP5.0.*遠程代碼執(zhí)行漏洞預(yù)警
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論