北京網(wǎng)絡(luò)與信息安全信息通報(bào)中心公告，近日，官方（一個(gè)快速、兼容、簡(jiǎn)單的輕量級(jí)國產(chǎn)PHP開發(fā)框架）發(fā)布了安全更新php代碼執(zhí)行漏洞，修復(fù)了一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞。本次版本更新主要涉及安全更新。由于框架沒有充分檢測(cè)到控制器名稱網(wǎng)站優(yōu)化seo優(yōu)化，會(huì)導(dǎo)致黑客在未開啟強(qiáng)制路由的情況下遠(yuǎn)程執(zhí)行惡意代碼，從而獲取權(quán)限。

一、基本信息

遠(yuǎn)程代碼執(zhí)行漏洞是用戶通過瀏覽器提交執(zhí)行命令。由于服務(wù)器端沒有過濾執(zhí)行函數(shù)，所以在執(zhí)行命令時(shí)沒有指定絕對(duì)路徑，這可能讓攻擊者更改$PATH或程序。執(zhí)行惡意代碼的執(zhí)行環(huán)境的其他方面。

分析官方補(bǔ)丁后發(fā)現(xiàn)該程序沒有過濾控制器，使得攻擊者可以通過引入\符號(hào)調(diào)用任意類方法執(zhí)行任意命令。

二、影響范圍

.0

.1

三、網(wǎng)絡(luò)安全工作技巧

針對(duì)這種情況，請(qǐng)及時(shí)做好以下三方面工作：

一是及時(shí)更新升級(jí)。目前，官方已經(jīng)發(fā)布了新版本來修復(fù)上述漏洞。建議使用框架的用戶及時(shí)升級(jí)進(jìn)行防護(hù)。具體升級(jí)方法請(qǐng)參考官網(wǎng)。

二是進(jìn)行自查。對(duì)信息系統(tǒng)進(jìn)行自查php代碼執(zhí)行漏洞，及時(shí)排除問題，對(duì)重要數(shù)據(jù)和文件進(jìn)行定期備份。

三是加強(qiáng)漏洞監(jiān)測(cè)。