碼上快樂

相關內容    簡體    繁體

修復Thinkphp框架5.0和5.1版本的遠程代碼執行安全漏洞

本文轉載自   查看原文   2019-04-09 10:54   618    php

由於框架對控制器名沒有進行足夠的檢測會導致在沒有開啟強制路由的情況下可能的getshell漏洞。最直接的影響為index.php直接被篡改成首頁html的內容!

 

5.0版本

thinkphp/library/think/App.php  類的module方法的獲取控制器的代碼后面加上

if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
    throw new HttpException(404, 'controller not exists:' . $controller);

}

 

5.1版本

thinkphp/library/think/route/dispatch/Url.php  類的parseUrl方法,解析控制器后加上   添加

 if ($controller && !preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
     throw new HttpException(404, 'controller not exists:' . $controller);
 }

 

 驗證成功 即可。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Fastjson 爆出遠程代碼執行高危漏洞,更新版本已修復 jquery版本安全漏洞問題 Thinkphp2.1爆出重大安全漏洞 thinkphp5.0.22遠程代碼執行漏洞分析及復現 ThinkPHP V5.x 遠程代碼執行漏洞利用 Thinkphp 3.0-3.1版代碼執行漏洞 Java代碼規范及安全漏洞防范及性能調優 代碼依賴包安全漏洞檢測神器 —— Dependency Check swoole結合支持thinkphp 5.0版本 WEB安全漏洞與防范
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM