一、漏洞公告

近日，监测到ThinkPHP官方修复了一处远程代码执行漏洞。该漏洞是由于在ThinkPHP开启了多语言功能时，允许未经身份验证的远程攻击者通过构造恶意数据进行远程代码执行攻击，获取服务器最高权限。该漏洞已发现在野利用，目前官方已发布安全版本，建议受影响的用户尽快采取安全措施。

参考链接：https://blog.thinkphp.cn/3078655

二、影响范围

受影响版本：

6.0.1 < ThinkPHP ≤6.0.13

ThinkPHP 5.0.x

ThinkPHP 5.1.x

安全版本：

Thinkphp >= 6.0.14

ThinkPHP >= 5.1.42

三、漏洞描述

ThinkPHP是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架 ，创立于2006年初，遵循Apache2开源协议发布，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。

ThinkPHP远程代码执行漏洞:该漏洞是由于在ThinkPHP开启了多语言功能时，允许未经身份验证的远程攻击者通过构造恶意数据进行远程代码执行攻击，获取服务器最高权限。

四、缓解措施

高危：目前漏洞细节和利用代码已公开，并存在在野利用，官方已发布新版本修复了此漏洞，建议受影响用户及时升级更新到安全版本 。

官方建议： 1、目前官方已发布安全版本修复上述漏洞，建议受影响的用户升级至安全版本。

下载链接： https://github.com/top-think/framework/tags