欢迎来到互联时空IDC互联网数据中心!

咨询:0755-88848868  400-645-8838

欢迎来到互联时空IDC互联网数据中心!

咨询:0755-88848868  400-645-8838

关于ThinkPHP官方漏洞说明

浏览:1926


据北京网络与信息安全信息通报中心通报,近日,ThinkPHP官方(ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架)发布安全更新,用于修复一个严重的远程代码执行漏洞。此次版本更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测,会导致在没有开启强制路由的情况下引发黑客执行远程恶意代码,从而获取权限。

 

  一、 基本情况

 

  远程代码执行漏洞是用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH或程序执行环境的其他方面来执行一个恶意构造的代码。

 

  经过对官方补丁分析,发现该程序未对控制器进行过滤,导致攻击者可以通过引入\符号来调用任意类方法,从而执行任意命令。

 

  二、影响范围

 

  ThinkPHP5.0

 

  ThinkPHP5.1

 

  三、 网络安全提示

 

  针对该情况,互联时空-深圳服务器租用和深圳服务器托管服务商提示广大客户及时做好以下三方面的工作:

 

  1)及时进行更新升级。目前,ThinkPHP官方已经发布新版本修复了上述漏洞,建议使用ThinkPHP框架的用户及时升级进行防护,具体升级方法详见ThinkPHP官网。

 

  2)开展自查。对信息系统开展自查,及时进行问题清零,对重要的数据、文件进行定期备份。

 

  3)加强漏洞监测。

 

  附:官方修复办法:https://blog.thinkphp.cn/869075

【深圳服务器】 【深圳服务器租用】 【深圳服务器托管】 【深圳云主机】 【互联时空百度云】


关于ThinkPHP官方漏洞说明
长按图片保存/分享
0
图片展示

 售前热线:0755-88848868

 售后支持:0755-88848825

  400-645-8838

深圳总公司地址:广东省深圳市坂田街道华为科技城布龙路创兴时代A座506-507

广州分公司地址广东省广州市天河区科韵路天河软件园广州信息港C座2楼

深圳市互联时空科技有限公司 版权所有 严禁复制 © 2003-2020 中文域名:深圳服务器.COM  互联时空.COM

广东省IDC、ISP、ICP三证认证企业 《中华人民共和国增值电信业务经营许可证》粤B2-20050516号

粤公网安备 44030702000489号

               

在线客服
联系方式
二维码
置顶
联系方式
客户经理-严(微信同号)
18344478808
客户经理-李(微信同号)
15018528878
客户经理-王(微信同号)
13751118835
客户经理-霞(微信同号)
18826508848
客户经理-黄(微信同号)
13530498881
全国服务热线:
4006-458-838
二维码
二维码 二维码