關于ThinkPHP存在遠程代碼執行漏洞的安全公告
(作者: 文章來源:www.cnvd.org.cn 發布日期:2018-12-13 瀏覽數:)
安全公告編號:CNTA-2018-0032
2018年12月11日,國家信息安全漏洞共享平臺(CNVD)收錄了ThinkPHP遠程代碼執行漏洞(CNVD-2018-24942)。攻擊者利用該漏洞,可在未授權的情況下遠程執行代碼。目前,漏洞利用原理已公開,廠商已發布新版本修復此漏洞。
一、漏洞情況分析
ThinkPHP采用面向對象的開發結構和MVC模式,融合了Struts的思想和TagLib(標簽庫)、RoR的ORM映射和ActiveRecord模式,是一款兼容性高、部署簡單的輕量級國產PHP開發框架。
2018年12月9日,ThinkPHP團隊發布了版本更新信息,修復一個遠程代碼執行漏洞。該漏洞是由于框架對控制器名沒有進行足夠的檢測,導致在沒有開啟強制路由的情況下可遠程執行代碼。攻擊者利用該漏洞,可在未經授權的情況下,對目標網站進行遠程命令執行攻擊。
CNVD對該漏洞的綜合評級為“高危”。
二、漏洞影響范圍
漏洞影響的產品版本包括:
ThinkPHP 5.0—5.1版本。
CNVD秘書處對使用ThinkPHP框架的網站服務器進行探測,數據顯示全球使用ThinkPHP框架的服務器規模共有4.3萬;按國家分布情況來看,分布前三的分別是中國(3.9萬)、美國(4187)和加拿大(471)。
三、漏洞處置建議
目前,ThinkPHP廠商已發布新版本修復此漏洞,CNVD建議用戶立即升級至最新版本:
https://blog.thinkphp.cn/869075
附:參考鏈接: