【漏洞详情】

近日，平安云安全中心监测到开源框架ThinkPHP 6被爆存在任意文件写入漏洞，通过构造特定的请求，远程攻击者可通过写入或覆盖服务器文件，以达到远程命令执行目的。建议受影响的用户综合评估安全及业务影响，及时进行加固修复，避免安全风险。

【风险评级】

高危

【影响范围】

ThinkPHP = 6.0

【修复建议】

截至公告发布，官方暂未发布修复版本，建议受影响用户综合评估漏洞风险和业务影响，及时进行加固修复，避免安全风险。

      1）关注并及时更新安全版本，官方更新链接：https://github.com/top-think/think/releases；

      2）最小化权限运行，建议以非 Root 帐户身份运行 PHP 应用程序。

【参考链接】

https://github.com/top-think/framework

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年1月13日