博客列表 >ThinkPHP5远程代码执行高危漏洞

ThinkPHP5远程代码执行高危漏洞

技术宅的博客原创转载: 2019年03月20日 09:34:44956浏览

手动修复
5.0版本
在think\App类的module方法的获取控制器的代码后面加上
if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
    throw new HttpException(404, 'controller not exists:' . $controller);
}
5.1版本
在think\route\dispatch\Url类的parseUrl方法，解析控制器后加上
if ($controller && !preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
    throw new HttpException(404, 'controller not exists:' . $controller);
}

附上原文链接 https://blog.thinkphp.cn/869075?spm=a2c4g.11174386.n2.6.30b21051ThgbHz

上一条：自定义方法循环拼装传二维数组 2019年3月19日下一条：ThinkPHP <5.0.24 Request.php 远程代码执行漏洞

ThinkPHP5远程代码执行高危漏洞

声明：本文内容转载自脚本之家，由网友自发贡献，版权归原作者所有，如您发现涉嫌抄袭侵权，请联系admin@php.cn 核实处理。

全部评论

文明上网理性发言，请遵守新闻评论服务协议

查看更多

ThinkPHP5远程代码执行高危漏洞

相关文章