漏洞描述
ThinkPHP 是一个PHP开发框架,使用面向对象的开发结构和MVC模式。
在受影响版本内存在反序列化漏洞,当应用代码中存在将用户输入的数据进行反序列化操作的端点时,如unserialize($input),具有端点访问权限的攻击者可能利用此缺陷构造恶意payload进而执行任意系统命令。
| 漏洞名称 | Thinkphp 存在反序列化漏洞 |
|---|---|
| 漏洞类型 | 反序列化 |
| 发现时间 | 2023-02-09 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-2022-65347 |
| CVE编号 | CVE-2022-45982 |
| CNVD编号 | - |
影响范围
topthink/framework@[6.0.0, 6.0.13]
topthink/framework@[6.1.0, 6.1.1]
修复方案
topthink/framework暂未发布新版本,请关注官方通:https://github.com/top-think/framework/releases
topthink/framework暂未发布新版本,请关注官方通告:https://github.com/top-think/framework/releases
参考链接
https://www.oscs1024.com/hd/MPS-2022-65347
https://gist.github.com/Dar1in9s/aa87df679057db3bbdade360d77f8cca、 POC
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球*开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
