【漏洞详情】

由于ThinkPHP5系统框架对控制器名没有进行足够的检测，导致在没有开启强制路由的情况下存在Getshell漏洞，此漏洞利用难度较低，成功利用漏洞后对服务端系统影响较大，请受影响的用户综合评估漏洞影响并修复漏洞。

【风险评级】

 高危

【影响范围】

 Thinkphp v5.0.x

 Thinkphp v5.1.x

【修复建议】

 请受影响的用户依据业务需求和实际漏洞影响评估是否需要修复，可采用如下方法修复此漏洞：

 1、按如下地址下载并升级ThinkPHP补丁；

 Thinkphp v5.0.x补丁地址: https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f

 Thinkphp v5.1.x补丁地址: https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815

 2、如果暂时无法更新到最新版本，可开启强制路由并添加相应未定义路由。

【参考链接】

 http://www.thinkphp.cn/topic/60400.html

 注意：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2018-12-11