大工网安告[2022]049
一、情况分析
近期,发现ThinkPHP开发框架存在命令执行漏洞。ThinkPHP是中国顶想信息科技公司的一套基于PHP的、开源的、轻量级Web应用程序开发框架。应用范围较广,因此威胁影响范围较大。攻击者可以通过该漏洞实现任意命令执行,从而获取服务器相关权限。
二、影响范围
6.0.1 <= ThinkPHP <= 6.0.13
5.0.0 <= ThinkPHP <= 5.0.12
5.1.0 <= ThinkPHP <= 5.1.8
三、处置建议
官方已经针对漏洞发布了版本更新,下载地址如下: https://github.com/top-think/framework/releases/tag/v6.0.1