CDN加速

产品动态 > 正文

【漏洞预警】ThinkPHP 5.1-5.2全版本命令执行漏洞

2019-01-15

ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,在国内得到广泛应用。

“事件回顾”

前几天(1月11号),ThinkPHP 5.0.*被爆全版本的代码执行漏洞,黑客利用该漏洞可造成远程命令执行,漏洞危害巨大。

今天网上又公开了ThinkPHP 5.1~5.2的全版本命令执行漏洞。 经过测试,本次爆出的命令执行漏洞影响范围更广,除了影响ThinkPHP 5.1-5.2全版本之外,5.0.*的部分版本也在波及范围之列。

助力零售业数字化升级 网宿斩获“最佳平台解决方案服务商奖”

“漏洞验证”

漏洞利用原理:

通过$_POST传入参数,利用变量覆盖漏洞设置filter属性值,从而导致任意代码执行。

网宿安全工程师在本地搭建测试环境,url中参数设置为命令,可在本地执行。验证结果如下图所示:

助力零售业数字化升级 网宿斩获“最佳平台解决方案服务商奖”

“影响范围”

ThinkPHP 5.0.x 部分版本

ThinkPHP 5.1.x-5.2版本

“网宿建议”

ThinkPHP5.0.* 版本用户,建议升级到官方最新的5.0.24版本。

至于ThinkPHP 5.1-5.2,官方目前还未发布修复公告,建议对官方升级信息保持关注,以及时进行修复。

网宿网站云WAF已于漏洞公开后的第一时间更新防护策略,为平台客户实时抵御威胁。同时,网宿云安全已开通漏洞响应快速通道,受本次漏洞影响的网站负责人可以致电网宿科技7*24小时客服热线,在安全专家的指导下快速接入网站,立即启动防护。

网宿网站云WAF能够防护已知的各类漏洞,同时,还可以基于对大量监控数据的实时分析,可以第一时间发现并防护新出现的漏洞,保障网站底层框架的安全。