欧美人两个人激情的免费视频_国产亚洲人成网站在线观看不卡_直接看毛片_免费乱理伦片在线观看app

十三年專注于網(wǎng)站建設(shè)與互聯(lián)網(wǎng)應(yīng)用開發(fā),低調(diào)、有情懷的網(wǎng)絡(luò)應(yīng)用服務(wù)商!
南昌百恒科技微信公眾號(hào) 掃一掃關(guān)注
tel-icon全國服務(wù)熱線:400-680-9298,0791-88117053
掃一掃關(guān)注百恒科技微信公眾號(hào)

關(guān)于ThinkPHP開發(fā)框架遠(yuǎn)程代碼執(zhí)行漏洞的通告

百恒 2023-02-14 16:18:25 600
? ? ? ?ThinkPHP是為了簡化企業(yè)級(jí)應(yīng)用開發(fā)和敏捷WEB應(yīng)用開發(fā)而誕生的開源輕量級(jí)PHP框架,是國內(nèi)一種開源免費(fèi)的,快速、簡單的面向?qū)ο蟮妮p量級(jí)PHP開發(fā)框架,下面南昌網(wǎng)絡(luò)公司百恒科技小編來跟大家聊一下關(guān)于ThinkPHP開發(fā)框架遠(yuǎn)程代碼執(zhí)行漏洞的通告。


ThinkPHP開發(fā)框架遠(yuǎn)程代碼執(zhí)行漏洞的通告


? ? ? ?一、 概述

? ? ? ?我中心技術(shù)支撐單位“奇安信”近日監(jiān)測到 ThinkPHP 存在遠(yuǎn)程代碼執(zhí)行漏洞(QVD-2022-46174), 當(dāng) ThinkPHP 開啟了多語言功能時(shí),未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以通過lang參數(shù)和目錄穿越實(shí)現(xiàn)文件包含,當(dāng)存在其他擴(kuò)展模塊如 pear 擴(kuò)展時(shí),攻擊者可進(jìn)一步利用文件包含實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,從而控制并獲取目標(biāo)系統(tǒng)。目前,已成功復(fù)現(xiàn)該漏洞,鑒于 ThinkPHP 廣泛應(yīng)用于我省企業(yè)的WEB應(yīng)用開發(fā),因此影響范圍較廣,危害較大,請各行業(yè)重點(diǎn)部門、開發(fā)單位盡快自查相關(guān)使用情況,及時(shí)更新至安全版本,以防遭受黑客攻擊。

? ? ? ?ThinkPHP 是國內(nèi)一種開源免費(fèi)的,快速、簡單的面向?qū)ο蟮妮p量級(jí)PHP開發(fā)框架,是為了敏捷WEB應(yīng)用開發(fā)和簡化企業(yè)應(yīng)用開發(fā)而誕生的,同時(shí)遵循Apache2 開源許可協(xié)議發(fā)布,意味著可以免費(fèi)使用 ThinkPHP,允許把基于ThinkPHP 開發(fā)的應(yīng)用開源或商業(yè)產(chǎn)品發(fā)布和銷售。

? ? ? ?二、漏洞詳情

? ? ? ?當(dāng) ThinkPHP 開啟了多語言功能時(shí),攻擊者可以通過lang參數(shù)和目錄穿越實(shí)現(xiàn)文件包含,當(dāng)存在其他擴(kuò)展模塊如 pear 擴(kuò)展時(shí),攻擊者可進(jìn)一步利用文件包含實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

? ? ? ?漏洞名稱:ThinkPHP 遠(yuǎn)程代碼執(zhí)行漏洞

? ? ? ?漏洞編號(hào):QVD-2022-46174

? ? ? ?危害等級(jí):高?

? ? ? ?三、影響范圍?

? ? ? ?1、受影響版本

? ? ? ?·? 6.0.1 <= ThinkPHP <= 6.0.13

? ? ? ?·? ThinkPHP 5.0.x

? ? ? ?· ThinkPHP 5.1.x

? ? ? ?2、安全版本

? ? ? ?·? ThinkPHP >= 6.0.14

? ? ? ?·? ThinkPHP >= 5.1.42ThinkPHP 5.1.x

? ? ? ?四、解決方案

? ? ? ?目前,ThinkPHP 官方已發(fā)布安全版本修復(fù)漏洞,根據(jù)影響范圍中的信息,可自行排查并升級(jí)到安全版本。

? ? ? ?1、更新鏈接:
? ? ? ?https://github.com/top-think/framework/releases/tag/v6.0.14

? ? ? ?2、自查方案:

? ? ? ?【ThinkPHP 6】
? ? ? ?打開app/middleware.php,如果 thinkmiddlewareLoadLangPack::class 沒有注釋,代表著受此漏洞影響。

? ? ? ?【ThinkPHP 5】
? ? ? ?打開config/app.php,如果 'lang_switch_on' 為 true,代表著受此漏洞影響。

? ? ? ?3、緩解措施:
? ? ? ?ThinkPHP默認(rèn)關(guān)閉多語言功能,如果開啟了該功能可以按照下面方法關(guān)閉。
? ? ? ?【ThinkPHP 6】
? ? ? ?打開app/middleware.php,將thinkmiddlewareLoadLangPack::class這行注釋掉。

? ? ? ?【ThinkPHP 5】
? ? ? ?打開config/app.php,將'lang_switch_on'=> true改成 'lang_switch_on'=>false

? ? ? ?修改完后,重啟應(yīng)用,小編建議再對服務(wù)進(jìn)行權(quán)限控制,只允許受信任的主機(jī)訪問集群服務(wù)器。

? ? ? ?以上是南昌網(wǎng)絡(luò)公司百恒科技小編要跟大家聊到的關(guān)于ThinkPHP開發(fā)框架遠(yuǎn)程代碼執(zhí)行漏洞的通告,希望能夠?qū)Υ蠹矣兴鶐椭胍私飧嚓P(guān)于這方面的內(nèi)容,歡迎留言咨詢百恒科技,百恒科技專注于軟件開發(fā)領(lǐng)域16年,主要涉及的業(yè)務(wù)有南昌APP開發(fā)南昌網(wǎng)站建設(shè)開發(fā)等等服務(wù)!


相關(guān)文章推薦? ?:? ? 百度統(tǒng)計(jì)的安裝及使用方法? ??

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? linux服務(wù)器時(shí)間校準(zhǔn)的方法? ??
400-680-9298,0791-88117053
掃一掃關(guān)注百恒網(wǎng)絡(luò)微信公眾號(hào)

歡迎您的光顧,我們將竭誠為您服務(wù)×

售前咨詢 售前咨詢
 
售前咨詢 售前咨詢
 
售前咨詢 售前咨詢
 
售前咨詢 售前咨詢
 
售前咨詢 售前咨詢
 
售后服務(wù) 售后服務(wù)
 
備案專線 備案專線
 
售后服務(wù) 售后服務(wù)
 
×