龙空技术网

「网络安全预警通报」关于ThinkPHP存在远程命令执行漏洞的预警通报

首都网警 414

前言:

而今咱们对“thinkphp 支付宝”大约比较关切,我们都需要剖析一些“thinkphp 支付宝”的相关资讯。那么小编同时在网摘上网罗了一些有关“thinkphp 支付宝””的相关文章,希望咱们能喜欢,同学们快快来学习一下吧!

北京网络与信息安全信息通报中心通报,近日,ThinkPHP官方(ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架)发布安全更新,用于修复一个严重的远程代码执行漏洞。此次版本更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测,会导致在没有开启强制路由的情况下引发黑客执行远程恶意代码,从而获取权限。

一、 基本情况

远程代码执行漏洞是用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH或程序执行环境的其他方面来执行一个恶意构造的代码。

经过对官方补丁分析,发现该程序未对控制器进行过滤,导致攻击者可以通过引入\符号来调用任意类方法,从而执行任意命令。

二、影响范围

ThinkPHP5.0

ThinkPHP5.1

三、 网络安全提示

针对该情况,请大家及时做好以下三方面的工作:

一是及时进行更新升级。目前,ThinkPHP官方已经发布新版本修复了上述漏洞,建议使用ThinkPHP框架的用户及时升级进行防护,具体升级方法详见ThinkPHP官网。

二是开展自查。对信息系统开展自查,及时进行问题清零,对重要的数据、文件进行定期备份。

三是加强漏洞监测。

素材来源:北京网络与信息安全信息通报中心

【2018-12-064期】

近日要览

1.【网警提示】你的密码2分钟被破解?密码要这样设置才安全~

2.【网警提示】支付宝花呗最新骗局曝光!你一定得看!

3.【网警提示】与自己如胶似漆的“未婚妻”竟是“丈母娘”?!网络交友需谨慎啊!

4.警惕!你的手机自动切换过2G网络吗?新盗刷手法来袭!

5.【网警提示】微信和QQ里的这些警官证都是假的!

6.【网警提示】3年进账8000万!诈骗集团靠的就是这招——29元免费送!

我们是北京市公安局网警巡查执法账号,如果您发现网上有害信息或违法犯罪线索,请通过平台私信向我们举报。浩瀚的互联网,愿你我携手,共创网络清朗。

微信号:首都网警

标签: #thinkphp 支付宝