内容简介:近日,国家信息安全漏洞库(CNNVD)收到关于ThinkPHP 5.0远程代码执行漏洞(ThinkPHP是一个免费开源的,快速简单的面向对象的轻量级PHP开发框架。该框架常被用来进行二次开发,国内应用非常广泛。Thinkphp在实现框架中的核心类Request的method方法实现了表单请求伪装。但由于对$_POST[‘_method’]属性校验不严格,导致攻击者可以通过变量覆盖掉Request类的属性并结合框架特性实现对任意函数的调用,从而实现远程代码执行。
近日,国家信息安全漏洞库(CNNVD)收到关于ThinkPHP 5.0远程代码执行漏洞( CNNVD-201901-445 )情况的报送。成功利用此漏洞的攻击者可以对目标系统进行远程代码执行攻击。ThinkPHP 5.0.x–5.0.23等多个版本均受此漏洞影响。目前,该漏洞的漏洞验证代码已经公开,同时ThinkPHP官方已经发布了该漏洞的修补措施,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、漏洞介绍
ThinkPHP是一个免费开源的,快速简单的面向对象的轻量级 PHP 开发框架。该框架常被用来进行二次开发,国内应用非常广泛。
Thinkphp在实现框架中的核心类Request的method方法实现了表单请求伪装。但由于对$_POST[‘_method’]属性校验不严格,导致攻击者可以通过变量覆盖掉Request类的属性并结合框架特性实现对任意函数的调用,从而实现远程代码执行。
二、危害影响
成功利用此漏洞的攻击者可以对目标系统进行远程代码执行攻击。目前,该漏洞的漏洞验证代码已在互联网上公开,近期被利用的可能性较大。受漏洞影响版本如下:
ThinkPHP 5.0.x–5.0.23。
三、修复建议
目前,ThinkPHP官方已经发布更新修复了该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:
http://www.thinkphp.cn/down.html
本通报由新华三技术有限公司、上海斗象信息科技有限公司、深信服科技股份有限公司、杭州安恒信息技术股份有限公司、北京知道创宇信息技术有限公司等提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvd@itsec.gov.cn
*本文作者:CNNVD,转载请注明来自FreeBuf.COM
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 漏洞预警 | ThinkPHP5远程命令执行漏洞
- WinRAR 代码执行漏洞复现
- struts2远程代码执行漏洞
- 【漏洞预警】 S2-057远程代码执行
- EKG Gadu 本地代码执行漏洞
- Gogs 远程命令执行漏洞分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Introduction to Computation and Programming Using Python
John V. Guttag / The MIT Press / 2013-7 / USD 25.00
This book introduces students with little or no prior programming experience to the art of computational problem solving using Python and various Python libraries, including PyLab. It provides student......一起来看看 《Introduction to Computation and Programming Using Python》 这本书的介绍吧!
