1. 首页>
  2. 资讯中心

【安全预警】ThinkPHP 6任意文件写入漏洞风险通告

腾讯云 2020年01月13日 浏览1292

    公司 新闻 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云客户, 您好:

       近日,腾讯云安全中心监测到,开源框架ThinkPHP 6被爆存在任意文件写入漏洞,攻击者可利用漏洞控制写入文件名与路径,在特定条件下可控制文件内容,达到远程执行命令目的。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
 
【漏洞详情】
 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的,在国内有大量企业使用。
  由于某文件存在逻辑漏洞,ThinkPHP开启某个配置时,攻击者可构造恶意请求写入或覆盖文件,若php-fpm以root用户运行,可覆盖系统内核文件,造成严重破坏。

【风险等级】
  高风险
 
【漏洞风险】
  任意文件写入、远程代码执行
 
【影响版本】
 ThinkPHP 6 版本
 
【修复补丁】
  截至公告发布,官方暂未发布修复版本

【修复建议】
  1)关注并及时进行更
  2)最小化权限运行,建议以非 Root 帐户身份运行 PHP 应用程序



【参考链接】

  1)外部风险通告:https://mp.weixin.qq.com/s/gVOOXLYwhRIvm1xmSCcnfA


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013