ThinkPHP开发框架曝高危漏洞,需紧急修复!
2022-12-9 16:41:50 Author: 微步在线研究响应中心(查看原文) 阅读量:214 收藏


01 漏洞概况 

微步在线通过“X漏洞奖励计划”获取到ThinkPHP开发框架命令执行漏洞的0day相关漏洞情报,攻击者可以通过此漏洞实现任意命令执行,导致系统被攻击与控制。该漏洞已在9月25日的V6.0.14被修复。ThinkPHP 是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架 ,创立于2006年初,遵循Apache2开源协议发布,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。并且拥有众多的原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不断优化和改进,已经成长为国内最领先和最具影响力的Web应用开发框架,众多的典型案例确保可以稳定用于商业以及门户级的开发。
自查检测:

此次受影响版本如下

ThinkPHP开发框架命令执行漏洞

是否受影响

<6.0.14

02 漏洞评估 

公开程度:PoC未公开
利用条件:无权限要求
交互要求:0-click
漏洞危害:高危、命令执行
影响范围:ThinkPHP开发框架命令执行漏洞

03 修复方案 

1、获取官网V6.0.14的补丁包,进行升级即可。

https://github.com/top-think/framework/releases/tag/v6.0.14

2、微步在线TDP已支持相关漏洞检测,对应规则ID为:S3100031334。

3、微步在线X企业版已支持相关漏洞检测:

04 时间线 

2022.09 微步“X漏洞奖励计划”获取该漏洞相关情报
2002.09 漏洞分析与研究
2022.09 TDP支持检测
2022.09 厂商发布补丁
2022.12 X企业版支持检测
2022.12 报送监管

2022.12 微步情报局发布漏洞通告

点击下方名片,关注我们

第一时间为您推送最新威胁情报


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247498726&idx=1&sn=a3230d5676fae8c8b9e5c65ebe959974&chksm=cfca98f2f8bd11e4d9272df3f0a45408d63956f9566f52f1a4e5718cb866f51f2b91b9ebac4b#rd
如有侵权请联系:admin#unsafe.sh