信息安全

信息安全 首页 > 信息安全 > 校园网 > 正文

【华中科技大学 - 漏洞预警】ThinkPHP 5.0 全版本存在远程代码执行漏洞

发布时间:2019-01-14 浏览次数:次

校园网 www.fjtyb.com

今日 ThinkPHP Github 仓库发布了新版本 v5.0.24,包含重要的安全更新。ThinkPHPRequest类的method方法中,可以通过表单请求类型伪装变量进行变量覆盖实现对该类任意函数的调用。攻击者通过该漏洞可能完全控制Web服务器。由于漏洞危害较大,且受影响版本为 5.0 全版本,建议尽快更新至最新版本。

 

漏洞概述

ThinkPHP是一套开源的、基于PHP的轻量级Web应用开发框架。

ThinkPHPRequest类的method方法中,可以通过表单请求类型伪装变量进行变量覆盖实现对该类任意函数的调用。攻击者通过该漏洞可能完全控制Web服务器。

 

漏洞危害

通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。

受影响范围

ThinkPHP 5.0 全版本。

 

修复建议

ThinkPHP 官方已发布安全更新,请及时更新至最新版本。 参考链接:https://github.com/top-think/framework

 

版权所有:华中科技大学网络与计算中心

地址:湖北省武汉市洪山区珞喻路1037号 邮编:430074 电话:027-87543141 传真:027-87543741