ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架，诞生于2006年初，原名FCS，2007年元旦正式更名为ThinkPHP，遵循Apache2开源协议发布，从Struts结构移植过来并做了改进和完善，同时也借鉴了国外很多优秀的框架和模式，使用面向对象的开发结构和MVC模式,在国内得到广泛应用。

“事件回顾”

前几天（1月11号），ThinkPHP 5.0.*被爆全版本的代码执行漏洞，黑客利用该漏洞可造成远程命令执行，漏洞危害巨大。

今天网上又公开了ThinkPHP 5.1~5.2的全版本命令执行漏洞。 经过测试，本次爆出的命令执行漏洞影响范围更广，除了影响ThinkPHP 5.1-5.2全版本之外，5.0.*的部分版本也在波及范围之列。

“漏洞验证”

漏洞利用原理：

通过$_POST传入参数，利用变量覆盖漏洞设置filter属性值，从而导致任意代码执行。

网宿安全工程师在本地搭建测试环境，url中参数设置为命令，可在本地执行。验证结果如下图所示：

“影响范围”

ThinkPHP 5.0.x 部分版本

ThinkPHP 5.1.x-5.2版本

“网宿建议”

ThinkPHP5.0.* 版本用户，建议升级到官方最新的5.0.24版本。

至于ThinkPHP 5.1-5.2，官方目前还未发布修复公告，建议对官方升级信息保持关注，以及时进行修复。

网宿网站云WAF已于漏洞公开后的第一时间更新防护策略，为平台客户实时抵御威胁。同时，网宿云安全已开通漏洞响应快速通道，受本次漏洞影响的网站负责人可以致电网宿科技7*24小时客服热线，在安全专家的指导下快速接入网站，立即启动防护。

网宿网站云WAF能够防护已知的各类漏洞，同时，还可以基于对大量监控数据的实时分析，可以第一时间发现并防护新出现的漏洞，保障网站底层框架的安全。