ThinkPHP5.0.x远程执行漏洞
💡
原文中文,约3500字,阅读约需9分钟。
📝
内容提要
ThinkPHP 5.0.x-5.1.x存在严重的远程代码执行漏洞,攻击者可以通过构造特定请求远程执行任意代码和命令。此漏洞影响使用ThinkPHP框架的电子商务、金融服务和在线游戏等行业的网站。漏洞是由于对控制器名称的安全检查不足导致,使得攻击者能够执行远程代码并获取服务器权限。
🎯
关键要点
- ThinkPHP 5.0.x-5.1.x 存在严重的远程代码执行漏洞。
- 攻击者可以通过特定请求远程执行任意代码和命令。
- 该漏洞影响使用 ThinkPHP 框架的电子商务、金融服务和在线游戏等行业的网站。
- 漏洞源于对控制器名称的安全检查不足,允许攻击者获取服务器权限。
- 漏洞利用条件之一是未开启强制路由。
- 漏洞分析显示,程序未对控制器和方法名进行过滤,导致任意控制器下任意方法的调用。
- 攻击者可以利用反射 API 动态调用函数,执行系统命令。
- 建议使用安全更新修复该漏洞,确保网站安全。
➡️
