ThinkPHP反序列化漏洞
ThinkPHP是中国顶想信息科技公司的一套基于PHP的、开源的、轻量级Web应用程序开发框架。
一、漏洞分析
公开日期:2022-09-16
漏洞编号:CNVD-2022-63888/CVE-2022-33107
危害等级:高危
漏洞描述:ThinkPHP v6.0.12 版本存在反序列化漏洞,该漏洞源于组件vendorleagueflysystem-cached-adaptersrcStorageAbstractCache.php在接收用户提交的序列化数据的不安全反序列化处理。攻击者可利用该漏洞通过精心设计的有效负载执行任意代码。
二、漏洞影响产品
中国顶想信息科技公司ThinkPHP v6.0.12
三、漏洞处置建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/top-think/framework
