漏洞公告（公告內會包含同一軟件多個漏洞 CVE）
    
簡介
    
修復方案
ThinkPHP5 <= 5.0.22 遠程代碼執行高危漏洞
    

ThinkPHP 是一款兼容性高、部署簡單的輕量級國產PHP開發框架。
2018年12月10日，阿里云云盾應急響應中心監測到ThinkPHP官方發布安全更新，披露了一個高危安全漏洞，由于ThinkPHP5框架對控制器名沒有進行足夠的安全檢測，導致在沒有開啟強制路由的情況下，攻擊者構造特定的惡意請求，可以直接獲取服務器權限。受影響的版本包括5.0和5.1版本。當前這個漏洞影響ThinkPHP <=5.0.22版本。
注意：如果您原先的控制器名中帶有反斜杠等特殊字符，一鍵修復后ThinkPHP可能會報錯，您可以對補丁修復進行回滾操作，并調整控制器名后再進行修復。

    

在think\App類的module方法的獲取控制器的代碼后面加上

if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
    throw new HttpException(404, 'controller not exists:' . $controller);
}

或點擊一鍵修復。

【注意：云盾會根據您當前代碼是否符合云盾的修復模式進行檢測，如果您自行采取了底層/框架統一修復、或者使用了其他的修復方案，可能會導致您雖然已經修復了該漏洞，云盾依然報告存在漏洞，遇到該情況可選擇忽略該漏洞提示】