漏洞预警| ThinkPHP多版本存在远程代码执行漏洞

棱镜七彩安全预警

近日网上有关于开源项目 ThinkPHP 存在远程代码执行漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架，诞生于2006年初，原名FCS，2007年元旦正式更名为ThinkPHP，遵循Apache 2开源协议发布，从Struts结构移植过来并做了改进和完善，同时也借鉴了国外很多优秀的框架和模式，使用面向对象的开发结构和MVC模式，融合了Struts的思想和TagLib（标签库）、RoR的ORM映射和ActiveRecord模式。

项目主页

https://www.topthink.com/

代码托管地址

https://github.com/top-think/framework

CVE编号

暂无

漏洞情况

ThinkPHP在开启多语言功能的情况下存在文件包含漏洞，攻击者可以通过get、header、cookie等位置传入参数，实现目录穿越+文件包含，通过pearcmd文件包含这个trick即可实现RCE。

受影响的版本

6.0.1 < ThinkPHP ≤ 6.0.13

5.0.0 < ThinkPHP ≤ 5.0.12

5.1.0 < ThinkPHP ≤ 5.1.8

修复方案

1、若无必要，可关闭多语言功能，可参考文档

https://www.kancloud.cn/manual/thinkphp6_0/1037637

https://static.kancloud.cn/manual/thinkphp5/118132

2、官方已发布6.0.14、5.1.42，建议升级至安全版本，链接如下：

Tags · top-think/framework · GitHub

链接地址

ThinkPHP发布6.1.0&6.0.14版本——安全更新 · ThinkPHP官方博客 · 看云

https://github.com/top-think/framework/commit/c4acb8b4001b98a0078eda25840d33e295a7f099