今日 ThinkPHP Github 仓库发布了新版本 v5.0.24，包含重要的安全更新。ThinkPHP的Request类的method方法中，可以通过“表单请求类型伪装变量”进行变量覆盖实现对该类任意函数的调用。攻击者通过该漏洞可能完全控制Web服务器。由于漏洞危害较大，且受影响版本为 5.0 全版本，建议尽快更新至最新版本。

漏洞概述

ThinkPHP是一套开源的、基于PHP的轻量级Web应用开发框架。

ThinkPHP的Request类的method方法中，可以通过“表单请求类型伪装变量”进行变量覆盖实现对该类任意函数的调用。攻击者通过该漏洞可能完全控制Web服务器。

漏洞危害

通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。

受影响范围

ThinkPHP 5.0 全版本。

修复建议

ThinkPHP 官方已发布安全更新，请及时更新至最新版本。 参考链接：https://github.com/top-think/framework