ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞

近日,ThinkPHP官方发布了重要的安全更新,修复了一个重大的漏洞。本次版本更新主要涉及一个安全更新,由于框架对控制器名没有进行足够的检测,会导致在没有开启强制路由的情况下引发getshell漏洞。该漏洞影响5.0和5.1版本,官方已经在最新版本中修复。
官方通告地址如下:
http://www.thinkphp.cn/topic/60400.html
http://www.thinkphp.cn/topic/60390.html

受影响的版本
ThinkPHP 5.0.x < 5.0.23

ThinkPHP 5.1.x < 5.1.31

不受影响的版本
ThinkPHP 5.0.23

ThinkPHP 5.1.31

解决方案

ThinkPHP官方已经发布新版本修复了上述漏洞,强烈建议受影响的用户及时升级进行防护。
具体升级方法请参考:
https://blog.thinkphp.cn/869075

利用参考

GITHUB:https://github.com/vulhub/vulhub/tree/master/thinkphp/5-rce ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞

222