【安全通告】ThinkPHP 6任意文件写入漏洞风险通告

尊敬的标准互联用户,您好!

近日,标准互联监测到,开源框架ThinkPHP 6被爆存在任意文件写入漏洞,攻击者可利用漏洞控制写入文件名与路径,在特定条件下可控制文件内容,达到远程执行命令目的。

为避免您的业务受影响,标准互联建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的,在国内有大量企业使用。

由于某文件存在逻辑漏洞,ThinkPHP开启某个配置时,攻击者可构造恶意请求写入或覆盖文件,若php-fpm以root用户运行,可覆盖系统内核文件,造成严重破坏。

风险等级

高风险

漏洞风险

任意文件写入、远程代码执行

影响版本

ThinkPHP 6 版本

修复版本

ThinkPHP >=6.0.2 版本

修复建议

1)升级 ThinkPHP 到 6.0.2 或更高版本;

2)最小化权限运行,建议以非 Root 帐户身份运行 PHP 应用程序。

参考链接

1)外部风险通告:mp.weixin.qq.com/s/gVOOXLYwhRIvm1xmSCcnfA

2)官方更新通告:github.com/top-think/think/releases

2020年01月13日
本博客所有文章如无特别注明均为原创。作者:标准互联复制或转载请以超链接形式注明转自 标准互联VPS粉丝站
原文地址《【安全通告】ThinkPHP 6任意文件写入漏洞风险通告

相关推荐

发表评论

路人甲 表情
看不清楚?点图切换 Ctrl+Enter快速提交

网友评论(0)