安全通告

ThinkPHP 開(kāi)發(fā)框架命令執(zhí)行漏洞

漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2022-12-09

?

漏洞描述

近日發(fā)現(xiàn)，ThinkPHP 開(kāi)發(fā)框架命令執(zhí)行漏洞的 0day 相關(guān)漏洞情報(bào)，攻擊者可以通過(guò)此漏洞實(shí)現(xiàn)任意命令執(zhí)行，導(dǎo)致系統(tǒng)被攻擊與控制。該漏洞已在 9月25日的V6.0.14被修復(fù)。ThinkPHP是一個(gè)免費(fèi)開(kāi)源的，快速、簡(jiǎn)單的面向?qū)ο蟮妮p量級(jí) PHP 開(kāi)發(fā)框架 ，創(chuàng)立于 2006 年初，遵循 Apache2 開(kāi)源協(xié)議發(fā)布，是為了敏捷 WEB 應(yīng)用開(kāi)發(fā)和簡(jiǎn)化企業(yè)應(yīng)用開(kāi)發(fā)而誕生的。并且擁有眾多的原創(chuàng)功能和特性，在社區(qū)團(tuán)隊(duì)的積極參與下，在易用性、擴(kuò)展性和性能方面不斷優(yōu)化和改進(jìn)，已經(jīng)成長(zhǎng)為國(guó)內(nèi)最領(lǐng)先和最具影響力的 WEB 應(yīng)用開(kāi)發(fā)框架，眾多的典型案例確保可以穩(wěn)定用于商業(yè)以及門(mén)戶級(jí)的開(kāi)發(fā)。

漏洞危害

攻擊者可以通過(guò)此漏洞實(shí)現(xiàn)任意命令執(zhí)行，導(dǎo)致系統(tǒng)被攻擊與控制。

漏洞等級(jí)

高危
受影響版本

ThinkPHP 開(kāi)發(fā)框架版本<6.0.14

修復(fù)方案

根據(jù)影響版本中的信息，排查并升級(jí)到安全版本。

下載鏈接：https://github.com/top-think/framework/releases/tag/v6.0.14

參考鏈接

https://github.com/top-think/framework/releases/tag/v6.0.14