[不花钱站长]:从免费域名开始[0元] Oracle永久免费VPS[0元] VPS环境搭建免费脚本[0元] 秒变大盘挂载免费网盘[0元] 小白免费采集器1天500W[0元] CF免费DNS+CDN服务[0元]
[零基础网赚]:撸本站免费源码[0元] 网站强引免费蜘蛛法[0元] 图片视频文件免费存储[0元] 外链轻松发布免费友链[0元] 入坑免费教程学习源代码[0元] 网上百种+赚钱联盟推荐[?元]

↑↑VPS推荐网 WWW.VPS.COM.IN 稳定 便宜 免备案↑↑


您现在的位置是:首页 > 全球[VPS测评] >  永久免费VPS 香港VPS,国外永久免费VPS

Thinkphp5.0.0~5.0.23 版本远程代码执行漏洞导致网站被挂马

全球[VPS测评]来源:VPS推荐网点击:1603
【性价之王】【线路之王】【价格之王】【配置之王】
【免费之王】【香港首推】【梯子之王】【独服之王】
Thinkphp5.0.0~5.0.23 版本远程代码执行漏洞导致网站被挂马

最近发现多个 Thinkphp5 开发的网站被挂马,导致首页被篡改,其他页面无法正常访问的情况。

木马中均包含以下代码:

define('Viv, bebegim.','Denzel-你的英雄');

经过检查,这些攻击是利用了 Thinkphp5.0.0~5.0.23 版本远程进行代码调用的漏洞进行的 getshell。

漏洞的详细原理参见:https://seaii-blog.com/index.php/2019/01/14/88.html

Thinkphp5 官方已经发布了安全更新版本:ThinkPHP5.0.24 版本发布——安全更新

请各位使用到漏洞版本的开发人员尽快更新到 5.0.24 版本及以上。

如果不方便更新到最新版本,那么可以按照最新版本的 Request 类的 method 方法进行手动修复,具体如下:

打开/thinkphp/library/think/Request.php 文件,找到 method 方法(约 496 行),修改下面代码:

$this->method = strtoupper($_POST[Config::get('var_method')]); $this->{$this->method}($_POST);

改为:

$method = strtoupper($_POST[Config::get('var_method')]); if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) { $this->method = $method; $this->{$this->method}($_POST); } else { $this->method = 'POST'; } unset($_POST[Config::get('var_method')]);

猜你可能想看的VPS


转载请注明原文地址:http://140.238.13.167:12355/read-211198.html

下一篇       上一篇