【漏洞通告】关于 ThinkPHP 开发框架远程代码执行漏洞的通告

“奇安信”近日监测到 ThinkPHP 存在远程代码执行漏洞（QVD-2022-46174）, 当 ThinkPHP 开启了多语言功能时，未经身份验证的远程攻击者可以通过lang参数和目录穿越实现文件包含，当存在其他扩展模块如 pear 扩展时，攻击者可进一步利用文件包含实现远程代码执行，从而控制并获取目标系统。目前，已成功复现该漏洞，鉴于 ThinPHP 广泛应用于我省企业的WEB应用开发，因此影响范围较广，危害较大，请各行业重点部门、开发单位尽快自查相关使用情况，及时更新至安全版本，以防遭受黑客攻击。

ThinkPHP 是国内一款开源免费的，快速、简单的面向对象的轻量级PHP开发框架，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。同时遵循Apache2 开源许可协议发布，意味着可以免费使用 ThinkPHP，允许把基于ThinkPHP 开发的应用开源或商业产品发布和销售。

漏洞详情   

当 ThinkPHP 开启了多语言功能时，攻击者可以通过lang参数和目录穿越实现文件包含，当存在其他扩展模块如 pear 扩展时，攻击者可进一步利用文件包含实现远程代码执行。

漏洞名称：ThinkPHP 远程代码执行漏洞

漏洞编号：QVD-2022-46174

危害等级：高 

影响范围   

受影响版本

·  6.0.1 <= ThinkPHP <= 6.0.13

·  ThinkPHP 5.0.x

· ThinkPHP 5.1.x

安全版本

·  ThinkPHP >= 6.0.14

·  ThinkPHP >= 5.1.42ThinkPHP 5.1.x

解决方案   

目前，ThinkPHP 官方已发布安全版本修复漏洞，根据影响范围中的信息，可自行排查并升级到安全版本。

1．更新链接： https://github.com/top-think/framework/releases/tag/v6.0.14  
2．自查方案： 【ThinkPHP 6】 打开app/middleware.php 如果 \think\middleware\LoadLangPack::class 没有注释，代表着受此漏洞影响。 【ThinkPHP 5】 打开config/app.php，如果 'lang_switch_on' 为 true，代表着受此漏洞影响。  
3．缓解措施： ThinkPHP默认关闭多语言功能，如果开启了该功能可以按照下面方法关闭。 【ThinkPHP 6】 打开app/middleware.php，将\think\middleware\LoadLangPack::class这行注释掉。 【ThinkPHP 5】 打开config/app.php，将'lang_switch_on'=> true改成 'lang_switch_on'=>false 修改完后，重启应用，Zui后建议再对服务进行权限控制，只允许受信任的主机访问集群服务器。