富贵耐心
登錄  免費注冊
當前位置:首頁 > 安全公告 > 正文

關于ThinkPHP 5.0.x存在遠程代碼執行漏洞的安全公告

2019-01-11 18:37:05
安全公告編號:CNTA-2019-0004

2019年1月11日,國家信息安全漏洞共享平臺(CNVD)收錄了ThinkPHP遠程代碼執行漏洞(CNVD-2019-01092)。攻擊者利用該漏洞,可在未授權的情況下遠程執行代碼。目前,漏洞利用原理已公開,廠商已發布新版本修復此漏洞。

一、漏洞情況分析

ThinkPHP采用面向對象的開發結構和MVC模式,融合了Struts的思想和TagLib(標簽庫)、RoR的ORM映射和ActiveRecord模式,是一款兼容性高、部署簡單的輕量級國產PHP開發框架。

2019年1月11日,ThinkPHP團隊發布了版本更新信息,修復了遠程代碼執行漏洞。該漏洞是由于框架在對關鍵類Request處理過程中,通過變量覆蓋實現對該類任意函數的調用,構造相應請求可對Request類屬性值進行覆蓋,導致任意代碼執行。攻擊者利用該漏洞,可在未經授權的情況下,對目標網站進行遠程命令執行攻擊。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響的產品版本包括:

ThinkPHP 5.0.x ~ 5.0.23版

CNVD秘書處對使用ThinkPHP框架的網站服務器進行探測,數據顯示全球使用ThinkPHP框架的服務器規模共有4.3萬;按國家分布情況來看,分布前三的分別是中國(3.9萬)、美國(4187)和加拿大(471)。經CNVD秘書處進行技術驗證,受此漏洞影響的ThinkPHP網站比率約為12%,影響比例較高。

三、漏洞處置建議

       目前,ThinkPHP廠商已發布新版本修復此漏洞,CNVD建議用戶立即升級至最新版本:

http://www.thinkphp.cn/down.html

 

附:參考鏈接:

https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003

http://www.thinkphp.cn/down.html


(編輯:CNVD) | 已有0條評論
登錄 后才能發表評論
已有0條評論
富贵耐心 股票涨跌最大的 股票分析怎么写 诚赢诚达 最好的投资理财平台 股票融资技巧 股票行情600326 专业股票配资公司 全国前三配资 怎么炒股详细步骤 基金配资多少倍