近日，华北1安全应急响应中心监控到ThinkPHP团队发布了关于ThinkPHP5系列的安全更新，本次更新修复了一个高危远程代码执行漏洞，该漏洞可被攻击者利用在未授权情况下远程执行代码，对目标网站实施攻击。

漏洞编号:

暂未分配CVE

漏洞名称:

ThinkPHP5 远程代码执行漏洞

漏洞危害等级:

高危

漏洞描述:

2018年12月9日，ThinkPHP团队发布了版本更新信息，修复了一个远程代码执行漏洞。该漏洞是由于框架对控制器名没有进行足够的检测，导致在没有开启强制路由的情况下可远程执行代码。攻击者利用该漏洞，可在未经授权的情况下远程执行代码，对目标网站进行攻击。

影响版本:

ThinkPHP 5.0.x -5.0.23

ThinkPHP 5.1.x -5.1.31

修复方案:

1、升级到最新版本。

下载链接：http://www.thinkphp.cn/down.html

2、如果暂时无法更新到最新版本，请开启强制路由并添加相应未定义路由，可参考下方链接进行手动修正。                        

官方公告：https://blog.thinkphp.cn/869075

版本库代码记录：

5.0:https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f

5.1:https://github.com/top-think/framework/commit/802f284bec821a608e7543d91126abc5901b2815

北京华北1网络技术有限公司

2018/12/11