登陆 注册

ThinkPHP5 再爆任意代码执行漏洞

乐山桑云信息技术有限公司Lzers 2019-01-11 ThinkPHP5漏洞事件
乐山桑云信息技术有限公司(www.sangyun.net)专注于企业安全与网站、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。
继去年12月10日爆出任意代码执行漏洞后,创宇盾网站安全舆情监测平台于近日发现ThinkPHP5再次出现任意代码执行漏洞。目前,已发现境外黑客对国内政府、企业等网站进行探测,请相关单位企业做好防御应急工作。


创宇盾安全专家于第一时间进行响应,经确认,知道创宇云安全旗下云防御平台创宇盾无须升级安全策略即可有效拦截利用该漏洞的攻击。

640

漏洞的综合评级为“高危”

ThinkPHP 是一个快速、兼容而且简单的轻量级国产 PHP 开发框架。ThinkPHP 从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进。


由于 ThinkPHP 框架对控制器名没有进行足够严格的检测,导致在没有开启强制路由的情况下,攻击者可以在服务端执行任意恶意代码。


影响版本

ThinkPHP 5.0.x – 5.0.23


安全建议

1. 及时更新 ThinkPHP 至最新版,以免遭受攻击;


2. 使用第三方防火墙进行防护

生成海报
请发表您的评论
乐山桑云信息技术有限公司Lzers

乐山桑云信息技术有限公司Lzers

乐山桑云信息技术有限公司专注于企业安全与网站、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。
872文章数 30评论数
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net