漏洞预警-ThinkCMFX文件包含漏洞(可写入任意文件)

释放双眼,带上耳机,听听看~!

一、漏洞背景

ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。

近期,该系统爆出存在文件包含漏洞,“黑客”在无需任何权限情况下,通过构造特定的请求包即可在服务器上执行任意代码。一键控制服务器

请使用该框架系统的管理人员尽快排查、修复。

POC:

隐藏内容,您需要满足以下条件方可查看
End
 

二、受影响版本

ThinkCMF X1.6.0

ThinkCMF X2.1.0

ThinkCMF X2.2.0

ThinkCMF X2.2.1

ThinkCMF X2.2.2

三、漏洞修复

将 HomebaseController.class.php 和 AdminbaseController.class.php 类中 display 和 fetch 函数的修饰符改为 protected

文章来自于公众号:黑客信徒

内容仅供学习研究,禁止用作非法途径,因文章产生的任何问题与本平台及作者无关

人已赞赏
安全工具安全教程

Python打造强大渗透工具(目标机监听控制端)

2019-10-23 14:29:27

安全工具

docker Remote API 未授权访问

2019-10-23 17:13:00

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索