【漏洞详情】
近日,平安云安全中心监测到开源框架ThinkPHP 6被爆存在任意文件写入漏洞,通过构造特定的请求,远程攻击者可通过写入或覆盖服务器文件,以达到远程命令执行目的。建议受影响的用户综合评估安全及业务影响,及时进行加固修复,避免安全风险。
【风险评级】
高危
【影响范围】
ThinkPHP = 6.0
【修复建议】
截至公告发布,官方暂未发布修复版本,建议受影响用户综合评估漏洞风险和业务影响,及时进行加固修复,避免安全风险。
1)关注并及时更新安全版本,官方更新链接:https://github.com/top-think/think/releases;
2)最小化权限运行,建议以非 Root 帐户身份运行 PHP 应用程序。
【参考链接】
https://github.com/top-think/framework
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2020年1月13日