登陆 注册

ThinkPHP5 再爆任意代码执行漏洞

Lzers 2019-01-11 ThinkPHP5漏洞事件
黑白网(heibai.org)成立于2014年,多年来以其专业的视角,优质的服务为广大安全技术爱好者提供了目前国内最全的网络安全技术学习资料,普及中国网络安全知识,宣扬正确的黑客极客文化,全方面提高国内安全技术水平。
继去年12月10日爆出任意代码执行漏洞后,创宇盾网站安全舆情监测平台于近日发现ThinkPHP5再次出现任意代码执行漏洞。目前,已发现境外黑客对国内政府、企业等网站进行探测,请相关单位企业做好防御应急工作。


创宇盾安全专家于第一时间进行响应,经确认,知道创宇云安全旗下云防御平台创宇盾无须升级安全策略即可有效拦截利用该漏洞的攻击。

640

漏洞的综合评级为“高危”

ThinkPHP 是一个快速、兼容而且简单的轻量级国产 PHP 开发框架。ThinkPHP 从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。


由于 ThinkPHP 框架对控制器名没有进行足够严格的检测,导致在没有开启强制路由的情况下,攻击者可以在服务端执行任意恶意代码。


影响版本

ThinkPHP 5.0.x – 5.0.23


安全建议

1. 及时更新 ThinkPHP 至最新版,以免遭受攻击;


2. 使用第三方防火墙进行防护

生成海报
请发表您的评论
Lzers

Lzers

安全路漫漫,莫愁前方无知己
857文章数 31评论数
请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.