腾讯云关于ThinkPHP 远程命令执行漏洞的通知!

| 2019-05-17

  尊敬的腾讯云客户,您好:
  近日,腾讯云安全中心监测到ThinkPHP框架官方发布安全更新修复一处严重漏洞,攻击者可利用漏洞在服务器上植入后门,实施远程代码执行攻击,危害用户应用系统及数据安全。
  为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
  【漏洞详情】
  由于ThinkPHP框架对控制器名没有进行足够的检测,在没有开启强制路由的情况下,攻击者可能利用该问题植入后门。
  【风险等级】
  高风险
  【漏洞风险】
  远程命令执行
  【影响版本】
  目前已知受影响版本如下:
  ThinkPHP5.0.x系列:5.0.23之前的所有版本
  ThinkPHP5.1.x系列:5.1.31之前的所有版本
  【安全版本】
  ThinkPHP5.0.23版本
  ThinkPHP5.1.31版本
  【修复建议】
  目前官方已经发布新版本进行了统一修复,如在受影响范围,建议参照【安全版本】及时进行加固或升级操作。
  新版本下载地址:
  ThinkPHP5.0.23:https://github.com/top-think/framework/archive/v5.0.23.zip
  ThinkPHP5.1.31:https://github.com/top-think/framework/archive/v5.1.31.zip
  版本查看方法:
  5.0可在base.php内中查看版本号,如:define('THINK_VERSION','5.0.23');
  5.1可在library/think/App.php内中查看版本号,如:constVERSION='5.1.30LTS';
  【备注】建议您在升级前做好数据备份工作,避免出现意外。
  【漏洞参考】
  1)官方通告:https://github.com/top-think/framework/releases
  

编辑:航网科技 来源:腾讯云 本文版权归原作者所有 转载请注明出处