漏洞预警| ThinkPHP多版本存在远程代码执行漏洞

漏洞预警| ThinkPHP多版本存在远程代码执行漏洞_第1张图片

棱镜七彩安全预警

近日网上有关于开源项目 ThinkPHP 存在远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache 2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。

项目主页

https://www.topthink.com/

代码托管地址

https://github.com/top-think/framework

CVE编号

暂无

漏洞情况

ThinkPHP在开启多语言功能的情况下存在文件包含漏洞,攻击者可以通过getheadercookie等位置传入参数,实现目录穿越+文件包含,通过pearcmd文件包含这个trick即可实现RCE

受影响的版本

6.0.1 < ThinkPHP 6.0.13

5.0.0 < ThinkPHP 5.0.12

5.1.0 < ThinkPHP 5.1.8

修复方案

1、若无必要,可关闭多语言功能,可参考文档

https://www.kancloud.cn/manual/thinkphp6_0/1037637

https://static.kancloud.cn/manual/thinkphp5/118132

2、官方已发布6.0.145.1.42,建议升级至安全版本,链接如下:

Tags · top-think/framework · GitHub

链接地址

ThinkPHP发布6.1.0&6.0.14版本——安全更新 · ThinkPHP官方博客 · 看云

https://github.com/top-think/framework/commit/c4acb8b4001b98a0078eda25840d33e295a7f099

 

你可能感兴趣的:(漏洞预警,struts,java,后端)