漏洞名称:ThinkPHP5 远程代码执行高危漏洞(CNNVD-201812-617) 漏洞造成的影响 由于ThinkPHP5框架对Request类的method处理存在缺陷,导致黑客构造特定的请求,可直接GetWebShell入侵服务器。
ThinkCMF框架用ThinkPHP5.011内核修复方法如下:
/simplewind/thinkphp/library/think/App.php 类的module方法的获取控制器的代码后面加上
if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
throw new HttpException(404, 'controller not exists:' . $controller);
}
如图: