高危!ThinkPHP5.0.x远程代码执行漏洞防御 – 作者:Hillstone

1月11日,ThinkPHP官方团队发布ThinkPHP5.0.24版本。本次更新修复了一个远程代码执行漏洞,建议更新!

漏洞描述

ThinkPHP在核心类Requests的method方法中实现了表单请求类型伪装,可以通过表单请求伪装变量实现对该类任意函数的调用,但是没有对该变量的属性进行严格校验,所以可以构造请求来实现对Request类属性值的覆盖,实现对任意函数的调用达到代码执行的效果。

受影响范围: ThinkPHP5.0-5.0.23


防护方案

1、升级到5.0.24版本

2、参照官方在Github上的更新修改library/think/Request.php文件并关闭调试模式。详见:

https://github.com/topthink/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003

3、升级山石网科IPS规则库到2.1.271及其之后的版本,WAF规则库到1.1.54及其之后的版本,并开启相应的规则,可有效防御该漏洞攻击。


了解更多防护方案,请点击这里

来源:freebuf.com 2019-01-14 13:40:09 by: Hillstone

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论