1月11日,ThinkPHP官方团队发布ThinkPHP5.0.24版本。本次更新修复了一个远程代码执行漏洞,建议更新!
漏洞描述
ThinkPHP在核心类Requests的method方法中实现了表单请求类型伪装,可以通过表单请求伪装变量实现对该类任意函数的调用,但是没有对该变量的属性进行严格校验,所以可以构造请求来实现对Request类属性值的覆盖,实现对任意函数的调用达到代码执行的效果。
受影响范围: ThinkPHP5.0-5.0.23
防护方案
1、升级到5.0.24版本
2、参照官方在Github上的更新修改library/think/Request.php文件并关闭调试模式。详见:
https://github.com/topthink/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003
3、升级山石网科IPS规则库到2.1.271及其之后的版本,WAF规则库到1.1.54及其之后的版本,并开启相应的规则,可有效防御该漏洞攻击。
来源:freebuf.com 2019-01-14 13:40:09 by: Hillstone
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册