【漏洞预警】ThinkCMF templateFile 远程代码执行漏洞

2019年11月6日,阿里云应急响应中心监测到ThinkCMF templateFile 远程代码执行漏洞。攻击者通过构造特定的请求,成功利用该漏洞可直接获取服务器权限。

漏洞描述
由于ThinkCMF对某些函数的访p 3 d p b Y问权限设置存在问题,攻击者在无需任何权限情况下可以通过构造恶意请求,向服务器写入任意内容的文件,达到l R L f 7远程代码执行的目的。攻击者利用该漏洞可以直接获取到服务@ : @ e C i器权限,阿里云应急响应中心提醒ThinkCMF用户尽快采取安全措施阻止漏洞攻击。

影响版本
ThinkCMF X1.6.0
ThinkCMF X2.1.0
ThinkCMF X2.2.0
ThinkCMF X2.2.1
ThinkCMF X2.2.2

h h 9 3 U ^全建议
1. 请关注ThinkCMF官方以便获取更新信息:https://www.thinkcmf.com/
2.l C k ~ } C 自行修改代码。将^ m # x ? C文件 HomebaseController.class.php 和 AdminbaseController.class.i V x p t 3php 类中 display 和 fetch 函6 _ B H / ! E @数的修饰符改为 protected。

云盾WAF已可防御此漏洞攻击

云盾漏洞扫描已支持对该漏洞检测

云盾云安全中心应用漏洞模块已支持对该漏洞一键检测

相关链接
https://xz.aliyun.com/t/6626

我们会X Y G g Q , z d (关注后续进展,请随时关注官方公告。
如有任何问题,可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心
2019.11.06