尊敬的标准互联用户,您好!
近日,标准互联监测到,开源框架ThinkPHP 6被爆存在任意文件写入漏洞,攻击者可利用漏洞控制写入文件名与路径,在特定条件下可控制文件内容,达到远程执行命令目的。
为避免您的业务受影响,标准互联建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的,在国内有大量企业使用。
由于某文件存在逻辑漏洞,ThinkPHP开启某个配置时,攻击者可构造恶意请求写入或覆盖文件,若php-fpm以root用户运行,可覆盖系统内核文件,造成严重破坏。
风险等级
高风险
漏洞风险
任意文件写入、远程代码执行
影响版本
ThinkPHP 6 版本
修复版本
ThinkPHP >=6.0.2 版本
修复建议
1)升级 ThinkPHP 到 6.0.2 或更高版本;
2)最小化权限运行,建议以非 Root 帐户身份运行 PHP 应用程序。
参考链接
1)外部风险通告:mp.weixin.qq.com/s/gVOOXLYwhRIvm1xmSCcnfA
2)官方更新通告:github.com/top-think/think/releases
2020年01月13日
发表评论