内容简介:安全公告编号:CNTA-2019-00042019年1月11日,国家信息安全漏洞共享平台(CNVD)收录了ThinkPHP远程代码执行漏洞(CNVD-2019-01092)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞利用原理已公开,厂商已发布新版本修复此漏洞。ThinkPHP采用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,是一款兼容性高、部署简单的轻量级国产PHP开发框架。
安全公告编号:CNTA-2019-0004
2019年1月11日,国家信息安全漏洞共享平台(CNVD)收录了ThinkPHP远程代码执行漏洞(CNVD-2019-01092)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞利用原理已公开,厂商已发布新版本修复此漏洞。
一、漏洞情况分析
ThinkPHP采用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式,是一款兼容性高、部署简单的轻量级国产 PHP 开发框架。
2019年1月11日,ThinkPHP团队发布了版本更新信息,修复了远程代码执行漏洞。该漏洞是由于框架在对关键类Request处理过程中,通过变量覆盖实现对该类任意函数的调用,构造相应请求可对Request类属性值进行覆盖,导致任意代码执行。攻击者利用该漏洞,可在未经授权的情况下,对目标网站进行远程命令执行攻击。
CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响的产品版本包括:
ThinkPHP 5.0.x ~ 5.0.23版
三、漏洞处置建议
目前,ThinkPHP厂商已发布新版本修复此漏洞,CNVD建议用户立即升级至最新版本:
http://www.thinkphp.cn/down.html
附:参考链接:
https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003
http://www.thinkphp.cn/down.html
声明:本文来自CNVD漏洞平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Linux设备驱动程序
科波特 / 魏永明、耿岳、钟书毅 / 中国电力出版社 / 2006-1-1 / 69.00元
本书是经典著作《Linux设备驱动程序》的第三版。如果您希望在Linux操作系统上支持计算机外部设备,或者在Linux上运行新的硬件,或者只是希望一般性地了解Linux内核的编程,就一定要阅读本书。本书描述了如何针对各种设备编写驱动程序,而在过去,这些内容仅仅以口头形式交流,或者零星出现在神秘的代码注释中。 本书的作者均是Linux社区的领导者。Jonathan Corbet虽不是专职的内核......一起来看看 《Linux设备驱动程序》 这本书的介绍吧!
