昨日ThinkPHP框架被爆出了一个php代码任意执行漏洞,黑客只需提交一段特殊的URL就可以在网站上执行恶意代码。

ThinkPHP作为国内使用比较广泛的老牌PHP MVC框架,有不少创业公司或者项目都用了这个框架。不过大多数开发者和使用者并没有注意到本次漏洞的危害性,chinaz源码报导提醒:此漏洞是一个非常严重的问题,只要使用了thinkphp框架,就可以直接执行任意php代码,请使用thinkphp框架的各位站长赶快对自己的网站进检测,并修复。

修复方法:

1、下载官方发布的补丁:

2、或者直接修改源码:

/trunk/ThinkPHP/Lib/Core/Dispatcher.class.php$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

修改为$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2';', implode($depr,$paths));

将 preg_replace第二个参数中的双引号改为单引号,防止其中的php变量语法被解析执行。

软件大小:4.04MB

软件类别:国产软件 | 其它类别

软件语言:简体中文

运行环境:PHP

软件授权:免费版

更新时间:2012-3-26 16:05:34

thinkphp日志泄漏漏洞_ThinkPHP框架被爆任意代码执行漏洞相关推荐

  1. Nette框架未授权任意代码执行漏洞分析

    Nette框架未授权任意代码执行漏洞分析 漏洞介绍: Nette Framework 是个强大,基于组件的事件驱动 PHP 框架,用来创建 web 应用.Nette Framework 是个现代化风格 ...

  2. fastjson反序列化漏洞_漏洞预警Fastjson再爆反序列化代码执行漏洞;星巴克被发现存在信息泄露风险...

    漏洞预警 Fastjson再次爆出通杀的反序列化代码执行漏洞 漏洞信息 据态势感知平台监测,网络上再次出现此前未曾发现的fastjson反序列化攻击向量. Fastjson是由阿里巴巴推出基于Java ...

  3. Apache Log4j任意代码执行漏洞安全风险通告第三次更新

    奇安信CERT 致力于第一时间为企业级用户提供安全风险通告和有效解决方案. 风险通告 近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞.经过分析,该组件存在Java JNDI注入 ...

  4. 绿盟科技网络安全威胁周报2017.22 关注Juniper Junos Space任意代码执行漏洞CVE-2017-2306...

    绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-22,绿盟科技漏洞库本周新增13条,其中高危0条.本次周报建议大家关注 Juniper Networks Junos Space任意代码执行漏 ...

  5. 记一次海洋cms任意代码执行漏洞拿shell(url一句话)

    实验环境:海洋CMS6.54(后续版本已该洞已补) 1.后台登录尝试 这个站点是个测试站,站里没什么数据. 进入admin.php,是带验证码的后台登录系统,没有验证码的可以用bp爆破.有验证码的也有 ...

  6. thinkphp日志泄漏漏洞_ThinkPHP框架任意代码执行漏洞的利用及其修复方法

    ThinkPHP是国内著名的开源的PHP框架,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的.最早诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,并且遵循Apache2 ...

  7. rmi远程代码执行漏洞_【漏洞通告】Apache Solr远程代码执行漏洞

    1.综述 Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器.该产品支持层面搜索.垂直搜索.高亮显示搜索结果等. Apache Solr ...

  8. HP officejet、PageWide打印机任意代码执行漏洞cve-2017-2741 Tenable发布漏洞检测插件...

    打印机无处不在.在企业,在家里,在学校,但你在做网络安全评估的时候是否考虑过他们?你上一次更新打印机固件是什么时候?您是否知道您的打印机有公共漏洞?Tenable安全公司进行了研究,并发布了漏洞检测  ...

  9. php 168任意代码执行漏洞之php的Complex (curly) syntax

    今天了解了php 168的任意代码执行漏洞,Poc: http://192.168.6.128/pentest/cms/php168/member/post.php ?only=1 &show ...

最新文章

  1. js变量前有 var 与没有的区别
  2. 读书笔记_unity4.x第十二章_渲染管线
  3. 安装oracle解压版,oracle11g压缩解压版图文安装详细教程
  4. eclipse插件开发_开发Eclipse插件
  5. 前端学习(1937)vue之电商管理系统电商系统之渲染分配角色的对话框并请求数据
  6. append在python里是什么意思_“一棵绿萝七个鬼”是什么意思?卧室里到底能不能养绿萝!...
  7. 【转】const int *p和int * const p的区别(常量指针与指向常量的指针)
  8. python 类不实例化方法:@staticmethod或@classmethod
  9. 云小课|CDN第5课 CDN入门之—我的网站可以用CDN加速吗?
  10. BIM工程信息管理系统搭建-系统功能需求
  11. codeblocks下载安装与解决codeblocks找不到编译器的方法
  12. ActiveX:ActiveX控件安装、dllregisterserver的调用失败
  13. 高风险IP究竟来自哪里?IP定位带你反欺诈
  14. 浏览器兼容性测试工具
  15. Notion、印象笔记、Roam research…不知道笔记系统构建方式!怎么能选到对的笔记应用?
  16. TP6自定义分页样式
  17. 深度学习方法(十五):知识蒸馏(Distilling the Knowledge in a Neural Network),在线蒸馏
  18. perf top 实时分析 CPU 使用情况
  19. 2023四省联考 数学 题解
  20. VC2008 NewControl 示例

热门文章

  1. C#使用TCP/IP与ModBus进行通讯
  2. tensorflow gpu windows配置步骤教学
  3. Python14 函数
  4. Android WindowManager和WindowManager.LayoutParams的使用以及实现悬浮窗口的方法
  5. nginx搭建基于http协议的视频点播服务器
  6. python redis插件安装
  7. 2、Eternal框架-svn_有更新!
  8. 详解Microsoft Office Communication Server (OCS) 2007 标准版部署(上)
  9. 泰坦尼克号 数据分析_第1部分:泰坦尼克号-数据分析基础
  10. 375. 猜数字大小 II