ThinkPHP 存在反序列化漏洞

时间:2023-02-12 08:10:29

漏洞描述

ThinkPHP 是一个PHP开发框架,使用面向对象的开发结构和MVC模式。

在受影响版本内存在反序列化漏洞,当应用代码中存在将用户输入的数据进行反序列化操作的端点时,如unserialize($input),具有端点访问权限的攻击者可能利用此缺陷构造恶意payload进而执行任意系统命令。

漏洞名称 Thinkphp 存在反序列化漏洞
漏洞类型 反序列化
发现时间 2023-02-09
漏洞影响广度 一般
MPS编号 MPS-2022-65347
CVE编号 CVE-2022-45982
CNVD编号 -

影响范围

topthink/framework@[6.0.0, 6.0.13]

topthink/framework@[6.1.0, 6.1.1]

修复方案

topthink/framework暂未发布新版本,请关注官方通:https://github.com/top-think/framework/releases

topthink/framework暂未发布新版本,请关注官方通告:https://github.com/top-think/framework/releases

参考链接

https://www.oscs1024.com/hd/MPS-2022-65347

https://gist.github.com/Dar1in9s/aa87df679057db3bbdade360d77f8cca、 POC

    

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球*开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具: https://www.murphysec.com/?src=osc

免费情报订阅: https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

ThinkPHP 存在反序列化漏洞