0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

ThinkPHP5.0.远程代码执行漏洞预警

pIuy_EAQapp 来源:工程师李察 2019-01-26 16:26 次阅读

安全公告

Thinkphp5.0.*存在远程代码执行漏洞。

漏洞描述

Thinkphp5.0.*存在远程代码执行漏洞。攻击者可以利用漏洞实现任意代码执行等高危操作。目前官方已经出了补丁(https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003),漏洞出现在处理请求的类中。攻击者可以控制类的属性及类方法的调用。

影响范围

影响以下版本:

ThinkPHP5.0 – 5.0.23

缓解措施

高危:目前网上已有该远程代码执行漏洞的POC,请尽快升级更新官方的补丁 。目前官方已经出了补丁(https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003)。漏洞出现在框架处理请求的类中。根据官方建议,可以通过git更新最新框架代码 https://github.com/top-think/framework。

手动修复可以在/thinkphp/library/think/Request.php中增加如下代码。

ThinkPHP5.0.远程代码执行漏洞预警

威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量和暴露在网上的端口情况,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后自动植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序,从而影响到网站服务的正常提供。

安全运营建议:Thinkphp 历史上已经报过多个安全漏洞(其中也有远程代码执行漏洞),建议使用该产品的企业经常关注官方安全更新公告。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 代码
    +关注

    关注

    30

    文章

    4787

    浏览量

    68589
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15373
  • 属性
    +关注

    关注

    0

    文章

    23

    浏览量

    8532

原文标题:ThinkPHP5.0.*远程代码执行漏洞预警

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    漏洞扫描的主要功能是什么

    弱点,以减少潜在的安全风险。 1. 漏洞识别 漏洞扫描的首要功能是识别系统中存在的安全漏洞。这些漏洞可能包括: 操作系统漏洞 :操作系统中存
    的头像 发表于 09-25 10:25 405次阅读

    C2000 DCSM ROM代码片段/ROP漏洞

    电子发烧友网站提供《C2000 DCSM ROM代码片段/ROP漏洞.pdf》资料免费下载
    发表于 08-28 09:39 0次下载
    C2000 DCSM ROM<b class='flag-5'>代码</b>片段/ROP<b class='flag-5'>漏洞</b>

    城市积水防涝远程监测预警解决方案

    城市积水防涝 远程 监测预警解决方案 城市积水防涝远程监测解决方案,作为现代城市管理与智慧城市建设的重要组成部分,旨在通过集成先进的信息技术、物联网技术、大数据分析以及云计算平台,实现对城市排水系统
    的头像 发表于 08-22 17:41 296次阅读
    城市积水防涝<b class='flag-5'>远程</b>监测<b class='flag-5'>预警</b>解决方案

    labview发邮件实现与远程预警

    labview发邮件实现与远程预警
    发表于 08-18 11:48

    工业5G路由器赋能户外组网远程监控及预警

    随着物联网、大数据、云计算等技术的快速发展,工业领域对于远程监控、实时预警和数据传输的需求日益增长。特别是在户外复杂环境下,传统的有线网络组网方式面临着布线难度大、成本高、维护困难等问题。工业5G
    的头像 发表于 08-02 14:41 340次阅读
    工业5G路由器赋能户外组网<b class='flag-5'>远程</b>监控及<b class='flag-5'>预警</b>

    配网行波故障预警与定位装置:实时性与远程监控

    配网行波故障预警与定位装置:实时性与远程监控 鼎信配网行波故障预警与定位装置是一种智能电力系统故障监测和诊断设备,它结合了现代通信技术和行波测距技术,用于配电网的故障预警和精确定位。
    的头像 发表于 07-09 15:51 408次阅读

    Git发布新版本 修补五处安全漏洞 包含严重远程代码执行风险

    CVE-2024-32002漏洞的严重性在于,黑客可通过创建特定的Git仓库子模块,诱骗Git将文件写入.git/目录,而非子模块的工作树。如此一来,攻击者便能在克隆过程中植入恶意脚本,用户几乎无法察觉。
    的头像 发表于 05-31 10:09 604次阅读

    火狐修复PDF组件漏洞,修复多款25年历史Bug

    报告显示,这个代码执行漏洞由CodeanLabs发现并通知Mozilla,CVSSv3评分达到7.5分。缘因是Firefox在处理PDF字体时未进行“类型检查”,给了黑客可乘之机,使其能利用特殊PDF文件
    的头像 发表于 05-28 10:26 751次阅读

    Adobe修复35项安全漏洞,主要涉及Acrobat和FrameMaker

    值得关注的是,Adobe对Acrobat及Acrobat Reader软件的漏洞修复最为重视,共修复了12个漏洞,其中9个为“远程执行代码
    的头像 发表于 05-16 15:12 734次阅读

    微软去年提交1128个漏洞,&quot;提权&quot;和&quot;远程代码执行&quot;最为常见

    据BeyondTrust安全平台统计显示,微软于2023年共报告漏洞1128项,相较于2022年的1292个略微下滑5%,但总漏洞数仍维持在历史高位。值得注意的是,NIST通用漏洞评级系统中评分9.0以上的严重
    的头像 发表于 04-29 16:11 443次阅读

    Rust漏洞远程执行恶意指令,已发布安全补丁

    漏洞源于操作系统命令及参数注入缺陷,攻击者能非法执行可能有害的指令。CVSS评分达10/10,意味着无须认证即可借助该漏洞发起低难度远端攻击。
    的头像 发表于 04-10 14:24 701次阅读

    GitHub推出新功能:智能扫描代码潜在漏洞

    代码扫描”功能还能预防新手引入新的问题,并支持在设定的日期和时间进行扫描,或者让特定事件(如推送到仓库中)触发扫描。若AI判定代码内可能存在隐患,GitHub将在仓库中发出预警,待用户修正引发求救信号的部分后,再撤销警告。
    的头像 发表于 03-21 14:55 703次阅读

    苹果修复macOS Ventura和Sonoma内存漏洞

    苹果强调,该漏洞可影响macOS Ventura及macOS Sonoma系统,攻击者可借此生成恶意文件。用户一旦点击浏览,可能引发应用程序异常关闭甚至造成任意代码执行风险。
    的头像 发表于 03-14 11:43 662次阅读

    代码审计怎么做?有哪些常用工具

    。 3、CodeQL:在 CodeQL 中,代码被视为数据,安全漏洞则被建模为可以对数据库执行的查询语句。 4、SonarQube:是一个用于代码质量管理的开源平台,用于管理源
    发表于 01-17 09:35

    NTG40S240-VFQFPN 5.0 x 5.0 x 0.75 mm机身包装外形图包装代码

    电子发烧友网站提供《NTG40S240-VFQFPN 5.0 x 5.0 x 0.75 mm机身包装外形图包装代码.pdf》资料免费下载
    发表于 01-05 10:44 0次下载
    NTG40S240-VFQFPN <b class='flag-5'>5.0</b> x <b class='flag-5'>5.0</b> x 0.75 mm机身包装外形图包装<b class='flag-5'>代码</b>