漏洞概述

ThinkPHP采用面向对象的开发结构和MVC模式，融合了Struts的思想和TagLib（标签库）、RoR的ORM映射和ActiveRecord模式，是一款兼容性高、部署简单的轻量级国产PHP开发框架。

2018年12月9日，ThinkPHP团队发布了版本更新信息，修复一个远程代码执行漏洞。该漏洞是由于框架对控制器名没有进行足够的检测，导致在没有开启强制路由的情况下可远程执行代码。攻击者利用该漏洞，可在未经授权的情况下，对目标网站进行远程命令执行攻击。

漏洞编号

CNVD-2018-24942

漏洞等级

高危

受影响版本

ThinkPHP 5.0—5.1版本

解决方案

目前，ThinkPHP厂商已发布新版本修复此漏洞，CNVD建议用户立即升级至最新版本：

https://blog.thinkphp.cn/869075

参考链接

https://blog.thinkphp.cn/869075