2018年3月末,ThinkPHP官方机构向补天平台发来致谢信,就补天漏洞响应平台的白帽子提交的严重SQL注入漏洞表示感谢。本次提交漏洞的是补天安全团队——北京奇安信科技有限公司(360企业安全集团)云影实验室。
漏洞的发现和及时上报帮助用户避免了面临的一系列安全风险,有力提升了软件的安全水平,最终保障了全国ThinkPHP用户的网络安全。ThinkPHP官方机构对补天平台及奇安信云影实验室给予高度评价,希望未来能够继续为软件提供长期支持,协助ThinkPHP打造更加安全的开源环境。
据悉,这次发现的漏洞是由于框架底层在数据更新的分析处理上存在设计问题,导致某些场景下会出现严重的SQL注入漏洞。据不完全统计,漏洞涉及的版本号包括Thinkphp5.0.11~Thinkphp5.1.5。由于利用场景较多且成本较低,若被黑产利用将会造成不可估量的损失。
ThinkPHP5框架是当前国内最流行的PHP框架之一,国内用户众多(大约几十万家网站),适应领域相当广泛。ThinkPHP同时也是免费开源、快速面向对象的PHP开放框架,是为了敏捷Web应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性、遵循着Apache2开源许可协议发布。
THE END