一.远程漏洞执行漏洞1
标题: ThinkPHP5 <= 5.0.22 远程代码执行高危漏洞
动修复
5.0版本
在think\App类的module方法的获取控制器的代码后面加上
if (!preg_match(‘/^A-Za-z*$/‘, $controller)) {
throw new HttpException(404, ‘controller not exists:’ . $controller);
}
5.1版本
在think\route\dispatch\Url类的parseUrl方法,解析控制器后加上
if ($controller && !preg_match(‘/^A-Za-z*$/‘, $controller)) {
throw new HttpException(404, ‘controller not exists:’ . $controller);
}
官方文档:https://blog.thinkphp.cn/869075
修复参考文档
https://blog.csdn.net/dabao87/article/details/84966882