CNNVD关于ThinkPHP远程代码执行漏洞情况的通报
2019-01-15 00:00
866 查看
近日,国家信息安全漏洞库(CNNVD)收到关于ThinkPHP 5.0远程代码执行漏洞(CNNVD-201901-445)情况的报送。成功利用此漏洞的攻击者可以对目标系统进行远程代码执行攻击。ThinkPHP 5.0.x–5.0.23等多个版本均受此漏洞影响。目前,该漏洞的漏洞验证代码已经公开,同时ThinkPHP官方已经发布了该漏洞的修补措施,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、漏洞介绍
ThinkPHP是一个免费开源的,快速简单的面向对象的轻量级PHP开发框架。该框架常被用来进行二次开发,国内应用非常广泛。
Thinkphp在实现框架中的核心类Request的method方法实现了表单请求伪装。但由于对$_POST[‘_method’]属性校验不严格,导致攻击者可以通过变量覆盖掉Request类的属性并结合框架特性实现对任意函数的调用,从而实现远程代码执行。
二、危害影响
成功利用此漏洞的攻击者可以对目标系统进行远程代码执行攻击。目前,该漏洞的漏洞验证代码已在互联网上公开,近期被利用的可能性较大。受漏洞影响版本如下:
ThinkPHP 5.0.x–5.0.23。
三、修复建议
目前,ThinkPHP官方已经发布更新修复了该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:
http://www.thinkphp.cn/down.html
本通报由新华三技术有限公司、上海斗象信息科技有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司、北京知道创宇信息技术有限公司等提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvd@itsec.gov.cn
相关文章推荐
- 关于Apache Struts2 新增远程命令执行高危漏洞的情况通报
- CNNVD:关于Apache Struts2(S2-045)漏洞情况的通报
- 关于MS12-020 3389 0day exp 远程桌面执行代码漏洞的文章
- 关于发布的CVE-2013-2251漏洞,strust远程代码执行漏洞
- 关于Android中WebView远程代码执行漏洞浅析
- Spring框架的反序列化远程代码执行漏洞分析(转)
- Struts2 S2 – 032远程代码执行漏洞分析报告 .
- 关于struts2.3.4项目跨站执行脚本以及远程执行漏洞修复概要
- 安卓WebView中接口隐患(远程代码执行漏洞)与手机挂马利用
- 阿里巴巴支付宝远程代码执行漏洞-0DAY
- php cgi远程任意代码执行漏洞
- phpliteadmin <= 1.9.3 远程php代码执行漏洞测试
- Bash 远程任意代码执行安全漏洞(最严重漏洞)
- struts2之高危远程代码执行漏洞,可造成服务器被入侵,下载最新版本进行修复
- struts2之高危远程代码执行漏洞,可造成服务器被入侵,下载最新版本进行修复
- Struts S2-016 远程任意命令执行漏洞检测代码
- Office CVE-2017-8570 远程代码执行漏洞复现
- 齐博cms最新SQL注入网站漏洞 可远程执行代码提权
- Apache ActiveMQ Fileserver远程代码执行漏洞
- android安全之webview远程代码执行漏洞