thinkphp日志泄漏漏洞_ThinkPHP框架被爆任意代码执行漏洞
昨日ThinkPHP框架被爆出了一个php代码任意执行漏洞,黑客只需提交一段特殊的URL就可以在网站上执行恶意代码。
ThinkPHP作为国内使用比较广泛的老牌PHP MVC框架,有不少创业公司或者项目都用了这个框架。不过大多数开发者和使用者并没有注意到本次漏洞的危害性,chinaz源码报导提醒:此漏洞是一个非常严重的问题,只要使用了thinkphp框架,就可以直接执行任意php代码,请使用thinkphp框架的各位站长赶快对自己的网站进检测,并修复。
修复方法:
1、下载官方发布的补丁:
2、或者直接修改源码:
/trunk/ThinkPHP/Lib/Core/Dispatcher.class.php$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));
修改为$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2';', implode($depr,$paths));
将 preg_replace第二个参数中的双引号改为单引号,防止其中的php变量语法被解析执行。
软件大小:4.04MB
软件类别:国产软件 | 其它类别
软件语言:简体中文
运行环境:PHP
软件授权:免费版
更新时间:2012-3-26 16:05:34
thinkphp日志泄漏漏洞_ThinkPHP框架被爆任意代码执行漏洞相关推荐
- Nette框架未授权任意代码执行漏洞分析
Nette框架未授权任意代码执行漏洞分析 漏洞介绍: Nette Framework 是个强大,基于组件的事件驱动 PHP 框架,用来创建 web 应用.Nette Framework 是个现代化风格 ...
- fastjson反序列化漏洞_漏洞预警Fastjson再爆反序列化代码执行漏洞;星巴克被发现存在信息泄露风险...
漏洞预警 Fastjson再次爆出通杀的反序列化代码执行漏洞 漏洞信息 据态势感知平台监测,网络上再次出现此前未曾发现的fastjson反序列化攻击向量. Fastjson是由阿里巴巴推出基于Java ...
- Apache Log4j任意代码执行漏洞安全风险通告第三次更新
奇安信CERT 致力于第一时间为企业级用户提供安全风险通告和有效解决方案. 风险通告 近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞.经过分析,该组件存在Java JNDI注入 ...
- 绿盟科技网络安全威胁周报2017.22 关注Juniper Junos Space任意代码执行漏洞CVE-2017-2306...
绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-22,绿盟科技漏洞库本周新增13条,其中高危0条.本次周报建议大家关注 Juniper Networks Junos Space任意代码执行漏 ...
- 记一次海洋cms任意代码执行漏洞拿shell(url一句话)
实验环境:海洋CMS6.54(后续版本已该洞已补) 1.后台登录尝试 这个站点是个测试站,站里没什么数据. 进入admin.php,是带验证码的后台登录系统,没有验证码的可以用bp爆破.有验证码的也有 ...
- thinkphp日志泄漏漏洞_ThinkPHP框架任意代码执行漏洞的利用及其修复方法
ThinkPHP是国内著名的开源的PHP框架,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的.最早诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,并且遵循Apache2 ...
- rmi远程代码执行漏洞_【漏洞通告】Apache Solr远程代码执行漏洞
1.综述 Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器.该产品支持层面搜索.垂直搜索.高亮显示搜索结果等. Apache Solr ...
- HP officejet、PageWide打印机任意代码执行漏洞cve-2017-2741 Tenable发布漏洞检测插件...
打印机无处不在.在企业,在家里,在学校,但你在做网络安全评估的时候是否考虑过他们?你上一次更新打印机固件是什么时候?您是否知道您的打印机有公共漏洞?Tenable安全公司进行了研究,并发布了漏洞检测 ...
- php 168任意代码执行漏洞之php的Complex (curly) syntax
今天了解了php 168的任意代码执行漏洞,Poc: http://192.168.6.128/pentest/cms/php168/member/post.php ?only=1 &show ...
最新文章
- js变量前有 var 与没有的区别
- 读书笔记_unity4.x第十二章_渲染管线
- 安装oracle解压版,oracle11g压缩解压版图文安装详细教程
- eclipse插件开发_开发Eclipse插件
- 前端学习(1937)vue之电商管理系统电商系统之渲染分配角色的对话框并请求数据
- append在python里是什么意思_“一棵绿萝七个鬼”是什么意思?卧室里到底能不能养绿萝!...
- 【转】const int *p和int * const p的区别(常量指针与指向常量的指针)
- python 类不实例化方法:@staticmethod或@classmethod
- 云小课|CDN第5课 CDN入门之—我的网站可以用CDN加速吗?
- BIM工程信息管理系统搭建-系统功能需求
- codeblocks下载安装与解决codeblocks找不到编译器的方法
- ActiveX:ActiveX控件安装、dllregisterserver的调用失败
- 高风险IP究竟来自哪里?IP定位带你反欺诈
- 浏览器兼容性测试工具
- Notion、印象笔记、Roam research…不知道笔记系统构建方式!怎么能选到对的笔记应用?
- TP6自定义分页样式
- 深度学习方法(十五):知识蒸馏(Distilling the Knowledge in a Neural Network),在线蒸馏
- perf top 实时分析 CPU 使用情况
- 2023四省联考 数学 题解
- VC2008 NewControl 示例
热门文章
- C#使用TCP/IP与ModBus进行通讯
- tensorflow gpu windows配置步骤教学
- Python14 函数
- Android WindowManager和WindowManager.LayoutParams的使用以及实现悬浮窗口的方法
- nginx搭建基于http协议的视频点播服务器
- python redis插件安装
- 2、Eternal框架-svn_有更新!
- 详解Microsoft Office Communication Server (OCS) 2007 标准版部署(上)
- 泰坦尼克号 数据分析_第1部分:泰坦尼克号-数据分析基础
- 375. 猜数字大小 II