ThinkPHP5 再爆任意代码执行漏洞 创宇盾无需升级即可防御 – 作者:知道创宇云安全

继去年12月10日爆出任意代码执行漏洞后，创宇盾网站安全舆情监测平台于近日发现ThinkPHP5再次出现任意代码执行漏洞。目前，已发现境外黑客对国内政府、企业等网站进行探测，请相关单位企业做好防御应急工作。

创宇盾安全专家于第一时间进行响应，经确认，知道创宇云安全旗下云防御平台创宇盾无须升级安全策略即可有效拦截利用该漏洞的攻击。

漏洞的综合评级为“高危”

ThinkPHP 是一个快速、兼容而且简单的轻量级国产 PHP 开发框架。ThinkPHP 从诞生以来一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，也注重易用性。并且拥有众多原创功能和特性，在社区团队的积极参与下，在易用性、扩展性和性能方面不断优化和改进。

由于 ThinkPHP 框架对控制器名没有进行足够严格的检测，导致在没有开启强制路由的情况下，攻击者可以在服务端执行任意恶意代码。

影响版本

ThinkPHP 5.0.x -5.0.23

安全建议

1. 及时更新 ThinkPHP 至最新版，以免遭受攻击；

2.使用第三方防火墙进行防护(如创宇盾 https://www.yunaq.com/cyd/)；

3. 进行技术业务咨询：

    知道创宇技术业务咨询热线 : 

    400-060-9587(政府，国有企业)

    028-68360638(互联网企业)

来源：freebuf.com 2019-01-11 18:37:31 by: 知道创宇云安全