漏洞描述
由於ThinkPHP5框架對控制器名沒有進行足夠的安全檢測,導致在沒有開啟強制路由的情況下,黑客構造特定的請求,可直接GetWebShell。
漏洞評級
嚴重
影響版本
ThinkPHP 5.0系列 < 5.0.23
ThinkPHP 5.1系列 < 5.1.31
安全版本
ThinkPHP 5.0系列 5.0.23
ThinkPHP 5.1系列 5.1.31
ThinkPHP5.*版本發布安全更新
本次版本更新主要涉及一個安全更新,由於框架對控制器名沒有進行足夠的檢測會導致在沒有開啟強制路由的情況下可能的
getshell漏洞,受影響的版本包括5.0和5.1版本,推薦盡快更新到最新版本。
如果各種原因暫時無法更新到最新版本(早期版本升級到最新版本可能存在兼容性問題,請首先參考官方手冊的升級指導章節)
手動修正
5.1版本
thinkphp/library/think/route/dispatch/Url.php 類的parseUrl方法,解析控制器后加上 添加
if ($controller && !preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
throw new HttpException(404, 'controller not exists:' . $controller);
}
5.0版本
thinkphp/library/think/App.php 類的module方法的獲取控制器的代碼后面加上
if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
throw new HttpException(404, 'controller not exists:' . $controller);
}
框架升級
進入到代碼根目錄 執行 composer update
注意:不推薦用這種方法直接升級,容易引起不兼容情況,如果必須特別想這樣子升級修復的話 ,建議提前備份好代碼。
目前thinkphp的 5.0(5.0.23) 以及 5.1(5.1.31) 的最新版本,已經修復此漏洞,建議大家項目都用目前最新版本。