关于ThinkPHP存在远程命令执行漏洞的预警通报

融好编辑07

      北京网络与信息安全信息通报中心通报，近日，ThinkPHP官方（ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架）发布安全更新，用于修复一个严重的远程代码执行漏洞。此次版本更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测，会导致在没有开启强制路由的情况下引发黑客执行远程恶意代码，从而获取权限。

       一、 基本情况

       远程代码执行漏洞是用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令，可能会允许攻击者通过改变 $PATH或程序执行环境的其他方面来执行一个恶意构造的代码。

       经过对官方补丁分析，发现该程序未对控制器进行过滤，导致攻击者可以通过引入\符号来调用任意类方法，从而执行任意命令。

       二、 影响范围

       ThinkPHP5.0

       ThinkPHP5.1

       三、 网络安全提示

       针对该情况，请大家及时做好以下三方面的工作：一是及时进行更新升级。目前，ThinkPHP官方已经发布新版本修复了上述漏洞，建议使用ThinkPHP框架的用户及时升级进行防护，具体升级方法详见ThinkPHP官网。二是开展自查。对信息系统开展自查，及时进行问题清零，对重要的数据、文件进行定期备份；三是加强漏洞监测。

文章来源：柳州网警巡查执法