thinkphp日志泄漏漏洞_ThinkPHP框架被爆任意代码执行漏洞
昨日ThinkPHP框架被爆出了一個php代碼任意執行漏洞,黑客只需提交一段特殊的URL就可以在網站上執行惡意代碼。
ThinkPHP作為國內使用比較廣泛的老牌PHP MVC框架,有不少創業公司或者項目都用了這個框架。不過大多數開發者和使用者并沒有注意到本次漏洞的危害性,chinaz源碼報導提醒:此漏洞是一個非常嚴重的問題,只要使用了thinkphp框架,就可以直接執行任意php代碼,請使用thinkphp框架的各位站長趕快對自己的網站進檢測,并修復。
修復方法:
1、下載官方發布的補丁:
2、或者直接修改源碼:
/trunk/ThinkPHP/Lib/Core/Dispatcher.class.php$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));
修改為$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2';', implode($depr,$paths));
將 preg_replace第二個參數中的雙引號改為單引號,防止其中的php變量語法被解析執行。
軟件大小:4.04MB
軟件類別:國產軟件 | 其它類別
軟件語言:簡體中文
運行環境:PHP
軟件授權:免費版
更新時間:2012-3-26 16:05:34
總結
以上是生活随笔為你收集整理的thinkphp日志泄漏漏洞_ThinkPHP框架被爆任意代码执行漏洞的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Linux学习笔记——CentOS
- 下一篇: php网站分区,PHP - Manual