ThinkPHP开发框架曝高危漏洞，需紧急修复！

Original 微步情报局微步在线研究响应中心

收录于合集

01 漏洞概况

微步在线通过“X漏洞奖励计划”获取到ThinkPHP开发框架命令执行漏洞的0day相关漏洞情报，攻击者可以通过此漏洞实现任意命令执行，导致系统被攻击与控制。该漏洞已在9月25日的V6.0.14被修复。ThinkPHP 是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架，创立于2006年初，遵循Apache2开源协议发布，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。并且拥有众多的原创功能和特性，在社区团队的积极参与下，在易用性、扩展性和性能方面不断优化和改进，已经成长为国内最领先和最具影响力的Web应用开发框架，众多的典型案例确保可以稳定用于商业以及门户级的开发。

自查检测：

此次受影响版本如下：

ThinkPHP开发框架命令执行漏洞	是否受影响
v6.0.0 ~ v6.0.13	是

02 漏洞评估

公开程度：PoC未公开

利用条件：无权限要求
交互要求：0-click
漏洞危害：高危、命令执行
影响范围：ThinkPHP开发框架命令执行漏洞

03 修复方案

1、获取官网V6.0.14的补丁包，进行升级即可。

https://github.com/top-think/framework/releases/tag/v6.0.14

2、微步在线TDP已支持相关漏洞检测，对应规则ID为：S3100031334。

3、微步在线X企业版已支持相关漏洞检测：

04 时间线

2022.09 微步“X漏洞奖励计划”获取该漏洞相关情报
2022.09 漏洞分析与研究
2022.09 TDP支持检测
2022.09 厂商发布补丁
2022.12 X企业版支持检测
2022.12 报送监管
2022.12 微步情报局发布漏洞通告

点击下方名片，关注我们

第一时间为您推送最新威胁情报

ThinkPHP开发框架曝高危漏洞，需紧急修复！

04 时间线 2022.09 微步“X漏洞奖励计划”获取该漏洞相关情报2022.09 漏洞分析与研究2022.09 TDP支持检测2022.09 厂商发布补丁2022.12 X企业版支持检测2022.12 报送监管2022.12 微步情报局发布漏洞通告

04 时间线 2022.09 微步“X漏洞奖励计划”获取该漏洞相关情报2022.09 漏洞分析与研究2022.09 TDP支持检测2022.09 厂商发布补丁2022.12 X企业版支持检测2022.12 报送监管2022.12 微步情报局发布漏洞通告

2022.09 微步“X漏洞奖励计划”获取该漏洞相关情报2022.09 漏洞分析与研究2022.09 TDP支持检测2022.09 厂商发布补丁2022.12 X企业版支持检测2022.12 报送监管2022.12 微步情报局发布漏洞通告

04 时间线

2022.09 微步“X漏洞奖励计划”获取该漏洞相关情报
2022.09 漏洞分析与研究
2022.09 TDP支持检测
2022.09 厂商发布补丁
2022.12 X企业版支持检测
2022.12 报送监管
2022.12 微步情报局发布漏洞通告

04 时间线

2022.09 微步“X漏洞奖励计划”获取该漏洞相关情报
2022.09 漏洞分析与研究
2022.09 TDP支持检测
2022.09 厂商发布补丁
2022.12 X企业版支持检测
2022.12 报送监管
2022.12 微步情报局发布漏洞通告

2022.09 微步“X漏洞奖励计划”获取该漏洞相关情报
2022.09 漏洞分析与研究
2022.09 TDP支持检测
2022.09 厂商发布补丁
2022.12 X企业版支持检测
2022.12 报送监管
2022.12 微步情报局发布漏洞通告