漏洞概述
ThinkPHP采用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,是一款兼容性高、部署简单的轻量级国产PHP开发框架。
2018年12月9日,ThinkPHP团队发布了版本更新信息,修复一个远程代码执行漏洞。该漏洞是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可远程执行代码。攻击者利用该漏洞,可在未经授权的情况下,对目标网站进行远程命令执行攻击。
漏洞编号
CNVD-2018-24942
漏洞等级
高危
受影响版本
ThinkPHP 5.0—5.1版本
解决方案
目前,ThinkPHP厂商已发布新版本修复此漏洞,CNVD建议用户立即升级至最新版本:
https://blog.thinkphp.cn/869075
参考链接
https://blog.thinkphp.cn/869075