尊敬的标准互联用户，您好！

近日，标准互联监测到，开源框架ThinkPHP 6被爆存在任意文件写入漏洞，攻击者可利用漏洞控制写入文件名与路径，在特定条件下可控制文件内容，达到远程执行命令目的。

为避免您的业务受影响，标准互联建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

ThinkPHP是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架，是为了敏捷WEB应用开发和简化企业应用开发而诞生的，在国内有大量企业使用。

由于某文件存在逻辑漏洞，ThinkPHP开启某个配置时，攻击者可构造恶意请求写入或覆盖文件，若php-fpm以root用户运行，可覆盖系统内核文件，造成严重破坏。

风险等级

高风险

漏洞风险

任意文件写入、远程代码执行

影响版本

ThinkPHP 6 版本

修复版本

ThinkPHP >=6.0.2 版本

修复建议

1）升级 ThinkPHP 到 6.0.2 或更高版本；

2）最小化权限运行，建议以非 Root 帐户身份运行 PHP 应用程序。

参考链接

1）外部风险通告：mp.weixin.qq.com/s/gVOOXLYwhRIvm1xmSCcnfA

2）官方更新通告：github.com/top-think/think/releases