【安全预警】ThinkPHP 6任意文件写入漏洞风险通告
摘要:
尊敬的腾讯云客户, 您好:
近日,腾讯云安全中心监测到,开源框架ThinkPHP 6被爆存在任意文件写入漏洞,攻击者可利用漏洞控制写入文件名与路径,在特定条件下可控制文件内容,达到远程执行命令目的。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的,在国内有大量企业使用。
由于某文件存在逻辑漏洞,ThinkPHP开启某个配置时,攻击者可构造恶意请求写入或覆盖文件,若php-fpm以root用户运行,可覆盖系统内核文件,造成严重破坏。
【风险等级】
高风险
【漏洞风险】
任意文件写入、远程代码执行
【影响版本】
ThinkPHP 6 版本
【修复补丁】
截至公告发布,官方暂未发布修复版本
【修复建议】
1)关注并及时进行更新;
2)最小化权限运行,建议以非 Root 帐户身份运行 PHP 应用程序。
【参考链接】
1)外部风险通告:https://mp.weixin.qq.com/s/gVOOXLYwhRIvm1xmSCcnfA