漏洞预警 | ThinkPHP5 再爆任意代码执行漏洞创宇盾无需升级即可防御-安全小百科

继去年12月10日爆出任意代码执行漏洞后，创宇盾网站安全舆情监测平台于近日发现ThinkPHP5再次出现任意代码执行漏洞。目前，已发现境外黑客对国内政府、企业等网站进行探测，请相关单位企业做好防御应急工作。

创宇盾安全专家于第一时间进行响应，经确认，知道创宇云安全旗下云防御平台创宇盾无须升级安全策略即可有效拦截利用该漏洞的攻击。

漏洞的综合评级为“高危”

ThinkPHP 是一个快速、兼容而且简单的轻量级国产 PHP 开发框架。ThinkPHP 从诞生以来一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，也注重易用性。并且拥有众多原创功能和特性，在社区团队的积极参与下，在易用性、扩展性和性能方面不断优化和改进。

由于 ThinkPHP 框架对控制器名没有进行足够严格的检测，导致在没有开启强制路由的情况下，攻击者可以在服务端执行任意恶意代码。

影响版本

ThinkPHP 5.0.x – 5.0.23

安全建议

1. 及时更新 ThinkPHP 至最新版，以免遭受攻击；

2. 使用第三方防火墙进行防护(如创宇盾https://www.yunaq.com/cyd/)；

3. 进行技术业务咨询：

知道创宇技术业务咨询热线 :

400-060-9587(政府，国有企业)

028-68360638(互联网企业)

了解创宇盾详细信息：https://www.yunaq.com/cyd/

文章版权归作者所有，未经允许请勿转载。

THE END

网络安全新闻

喜欢就支持一下吧

漏洞预警 | ThinkPHP5 再爆任意代码执行漏洞创宇盾无需升级即可防御

漏洞的综合评级为“高危”

影响版本

安全建议

请登录后发表评论

ChatGPT问答: RiscV 汇编怎么写 1到100 数字之和代码 RISC-V 汇编语言入门 add, sub, lw, sw, j 常用指令

RARS 汇编模拟器支持的RISC-V指令

使用FFMPEG快速替换视频中的音频

2023.03.26 我去年买了个表，一直走不准，现在终于可以设置时间了

GPt-4: 对业余爱好者来说，学习编程有很多好处。

Debian 11 安装 RISC-V 和 Mips64 的 GNU gcc编译器工具链的笔记

公司成功上市啦！ – 作者:KOAL格尔国信

Comdev eCommerce 3.0 – ‘config.php’ Remote File Inclusion

GeoServer漏洞利用总结及案例参考 – 作者:vlong6

女祭女戚

帆软10.0 Getshell漏洞分析

科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa

Hosting Controller User Profile Unauthorized Access Vulnerability

CVS serve_serve_notify()边界溢出任意指令执行漏洞

黑客组织曝光足坛涉 “ 禁药 ” 名单，特维斯库伊特等名将在列

端口信息收集基础 – 作者:白色的空盒子

Web安全 | Java-SQL注入实战 – 作者:Setup

Sectigo SSL证书市场占有率高的原因 – 作者:安信SSL证书

付费下载测试

Python网络开发简单的IP城市定位WebAPI

zibll子比主题 v5.6最新免授权版

创建不做身份鉴定的HTTPClient发送HTTPS的POST请求的工具类，解决异常：sun.security.validator.ValidatorException: PKIX path vali

Attack tive Directory – 作者:sec875

免费领爱企查两年会员