聲明：該文章由作者（ksbugs）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

漏洞：ThinkPHP5 遠程代碼執(zhí)行漏洞

等級：高危

影響范圍：

thinkphp 5.x

漏洞描述：

框架中的Request類的存在設(shè)計缺陷導(dǎo)致遠程代碼執(zhí)行漏洞，最終攻擊者可利用該漏洞獲取系統(tǒng)權(quán)限。

修復(fù)方案：

https://github.com/top-think/framework/commit/4a4b5e64fa4c46f851b4004005bff5f3196de003

關(guān)于thinkPHP

ThinkPHP是一個快速、兼容而且簡單的輕量級國產(chǎn)PHP開發(fā)框架，誕生于2006年初，原名FCS，2007年元旦正式更名為ThinkPHP，遵循Apache2開源協(xié)議發(fā)布，從Struts結(jié)構(gòu)移植過來并做了改進和完善，同時也借鑒了國外很多優(yōu)秀的框架和模式，使用面向?qū)ο蟮拈_發(fā)結(jié)構(gòu)和MVC模式，融合了Struts的思想和TagLib（標(biāo)簽庫）、RoR的ORM映射和ActiveRecord模式。

ThinkPHP可以支持windows/Unix/Linux等服務(wù)器環(huán)境，正式版需要PHP5.0以上版本支持，支持MySql、PgSQL、Sqlite多種數(shù)據(jù)庫以及PDO擴展，ThinkPHP框架本身沒有什么特別模塊要求，具體的應(yīng)用系統(tǒng)運行環(huán)境要求視開發(fā)所涉及的模塊。

作為一個整體開發(fā)解決方案，ThinkPHP能夠解決應(yīng)用開發(fā)中的大多數(shù)需要，因為其自身包含了底層架構(gòu)、兼容處理、基類庫、數(shù)據(jù)庫訪問層、模板引擎、緩存機制、插件機制、角色認證、表單處理等常用的組件，并且對于跨版本、跨平臺和跨數(shù)據(jù)庫移植都比較方便。并且每個組件都是精心設(shè)計和完善的，應(yīng)用開發(fā)過程僅僅需要關(guān)注您的業(yè)務(wù)邏輯。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/