关于 ThinkAdmin V6 任意文件下载漏洞修复说明

来源: 投稿
作者: 邹景立
2020-11-13

最近网上有传 ThinkAdmin V6 的任意文件下载漏洞,这个漏洞在发现时就已经修复。这里需要更新 ThinkLibrary 组件和 admin 模块。此功能原本是官方提供给使用者下载更新升级代码用的,使用者可以删除 app/admin/controller/api/Update.php 文件入口文件即可杜绝一切可能,但 ThinkAdmin 官方不得不给一个接口给予使用者更新升级,源码都是一套,因此也只能提供域名拦截和允许下载规则,不允许下载应用规则之外的代码和有可能存在数据配置的文件。另外文件下载接口也有使用加密,不过这个加密比较简单,只有深入了解过 ThinkAdmin 的朋友才有可能重现漏洞,不过我们还是建议大家尽快升级下修复问题。更新的文件涉及 vendor/zoujingli/think-library 和 app/admin/controller/api 两个目录,另外 v5 最好也更新升级下。 更多更新升级请阅读文档 https://thinkadmin.top/system-upgrade

  • 以下为内部组件拦截

  • 以下为 Http 访问入口拦截

展开阅读全文
3 收藏
分享
加载中
最新评论 (1)
这个漏洞应该关注
2020-11-13 13:20
0
回复
举报
更多评论
1 评论
3 收藏
分享
返回顶部
顶部