ThinkPHP6、5.1 开发框架远程代码执行漏洞QVD-2022-46174

近日广东省网络安全应急响应中心公布了ThinkPHP框架的远程代码执行漏洞公告

当 ThinkPHP 开启了多语言功能时，攻击者可以通过lang参数和目录穿越实现文件包含，当存在其他扩展模块如 pear 扩展时，攻击者可进一步利用文件包含实现远程代码执行。

漏洞名称：ThinkPHP 远程代码执行漏洞
漏洞编号：QVD-2022-46174
影响范围：6.0.14以下版本 5.1.42以下版本
危害等级：高

该漏洞对于5.1及5.0版本的影响较大，因为6.0版本默认不会开启多语言检测。

官方于10月26日已经发布安全更新版本V6.0.14以及V5.1.42 （参见ThinkPHP发布6.1.0&6.0.14版本——安全更新 ），请开发者尽快升级到官方Zui新版本并做好服务器安全访问机制！