【安全预警】关于 ThinkPHP 远程命令执行漏洞的通知

尊敬的腾讯云客户，您好：　   近日，腾讯云安全中心监测到 ThinkPHP 框架官方发布安全更新修复一处严重漏洞，攻击者可利用漏洞在服务器上植入后门，实施远程代码执行攻击，危害用户应用系统及数据安全。

      为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。


【漏洞详情】
  由于 ThinkPHP 框架对控制器名没有进行足够的检测，在没有开启强制路由的情况下，攻击者可能利用该问题植入后门。


【风险等级】
   高风险

【漏洞风险】
   远程命令执行

【影响版本】
  目前已知受影响版本如下：
  ThinkPHP 5.0.x 系列： 5.0.23 之前的所有版本
  ThinkPHP 5.1.x 系列： 5.1.31 之前的所有版本


【安全版本】
  ThinkPHP 5.0.23 版本
  ThinkPHP 5.1.31 版本


【修复建议】
  目前官方已经发布新版本进行了统一修复，如在受影响范围，建议参照【安全版本】及时进行加固或升级操作。
  新版本下载地址：
  ThinkPHP 5.0.23 ： https://github.com/top-think/framework/archive/v5.0.23.zip
  ThinkPHP 5.1.31 ： https://github.com/top-think/framework/archive/v5.1.31.zip
  版本查看方法：
  5.0 可在 base.php 内中查看版本号，如：define('THINK_VERSION', '5.0.23')；
  5.1 可在 library/think/App.php 内中查看版本号，如：const VERSION = '5.1.30 LTS'；

【备注】建议您在升级前做好数据备份工作，避免出现意外。


【漏洞参考】
  1）官方通告：https://github.com/top-think/framework/releases