近日广东省网络安全应急响应中心公布了ThinkPHP框架的远程代码执行漏洞公告
当 ThinkPHP 开启了多语言功能时,攻击者可以通过lang参数和目录穿越实现文件包含,当存在其他扩展模块如 pear 扩展时,攻击者可进一步利用文件包含实现远程代码执行。
漏洞名称:ThinkPHP 远程代码执行
漏洞漏洞编号:QVD-2022-46174
影响范围:6.0.14以下版本 5.1.42以下版本
危害等级:高
该漏洞对于5.1及5.0版本的影响较大,因为6.0版本默认不会开启多语言检测。
官方于10月26日已经发布安全更新版本V6.0.14以及V5.1.42 (参见ThinkPHP发布6.1.0&6.0.14版本——安全更新 ),请开发者尽快升级到官方最新版本并做好服务器安全访问机制!
CRMEB-慕白寒窗雪 最后编辑于2022-12-14 18:12:35
相关推荐
回答
9280
发布
1848
经验
76293
热门文章
快速安全登录
微信登录/注册
{{ bind_phone ? '绑定手机' : '手机登录'}}
热度 {{item.heat}}
{{item.user_info.nickname ? item.user_info.nickname : item.user_name}}
作者 管理员 企业
{{itemf.name}}
{{itemc.user_info.nickname}}
{{itemc.user_name}}
回复 {{itemc.comment_user_info.nickname}}
![]()
{{itemf.name}}