2019年1月11日,白帽匯安全研究院發現thinkphp官網發布了安全更新,修復了一個遠程代碼執行漏洞。主要影響的版本為5.0.0~5.0.23版本。
此次爆出漏洞的ThinkPHP 5.x版本是官方於2015年發布的新一代框架,其中5.0版本於2016年的9月份布。在不久之前,ThinkPHP 5.x版本就曝出遠程代碼執行漏洞。短短兩三個月後,ThinkPHP 5.0 就又曝出了新的遠程代碼執行漏洞,這說明其框架在安全方面有較大缺陷,預計在日後會遭受更嚴峻的考驗。
概況
ThinkPHP誕生於2006年,是一個國產開源的PHP開發框架,其借鑒了Struts框架的Action對象,同時也使用面向對象的開發結構和MVC模式。ThinkPHP可在Windows和Linux等操作系統運行,支持MySql,Sqlite和PostgreSQL等多種資料庫以及PDO擴展,是一款跨平台,跨版本以及簡單易用的PHP框架。
目前FOFA系統最新數據(一年內數據)顯示全球範圍內共有266459個ThinkPHP網站對外開放服務。中國大陸地區使用數量最多,共有143230台,美國第二,共有46348台,中國香港特別行政區第三,共有15453台,印度尼西亞第四,共有4969台。
全球範圍內ThinkPHP網站分布情況(僅為分布情況,非漏洞影響情況)
TAG:ThinkPHP | Web漏洞 | 信息安全 |