尊敬的用戶您好!

　　據北京網絡與信息安全信息通報中心通報，近日，ThinkPHP官方(ThinkPHP是一個快速、兼容而且簡單的輕量級國產PHP開發框架)發布安全更新，用于修復一個嚴重的遠程代碼執行漏洞。此次版本更新主要涉及一個安全更新，由于框架對控制器名沒有進行足夠的檢測，會導致在沒有開啟強制路由的情況下引發黑客執行遠程惡意代碼，從而獲取權限。

　　一、 基本情況

　　遠程代碼執行漏洞是用戶通過瀏覽器提交執行命令，由于服務器端沒有針對執行函數做過濾，導致在沒有指定絕對路徑的情況下就執行命令，可能會允許攻擊者通過改變 $PATH或程序執行環境的其他方面來執行一個惡意構造的代碼。

　　經過對官方補丁分析，發現該程序未對控制器進行過濾，導致攻擊者可以通過引入\\符號來調用任意類方法，從而執行任意命令。

　　二、影響范圍

　　ThinkPHP5.0

　　ThinkPHP5.1

　　三、 網絡安全提示

　　針對該情況，新網提示廣大客戶及時做好以下三方面的工作：

　　1)及時進行更新升級。目前，ThinkPHP官方已經發布新版本修復了上述漏洞，建議使用ThinkPHP框架的用戶及時升級進行防護，具體升級方法詳見ThinkPHP官網。

　　2)開展自查。對信息系統開展自查，及時進行問題清零，對重要的數據、文件進行定期備份。

　　3)加強漏洞監測。

　　附：官方修復辦法：https://blog.thinkphp.cn/869075