扫码关注官方微信

扫码下载APP
返回顶部
首页 > 资讯 > 后端开发 > PHP编程 >ThinkPHP v6.0.13 存在反序列化漏洞
  • 890

0
分享到

ThinkPHP v6.0.13 存在反序列化漏洞

apache安全php 2023-09-02 07:09:10 890人浏览 八月长安
摘要

漏洞描述 ThinkPHP 是一个免费开源的,轻量级的php开发框架。 ThinkPHP 6.0.13版本中存在反序列化漏洞,攻击者可通过精心设计的 payload 在 Psr6Cache 组件中通过

漏洞描述

ThinkPHP 是一个免费开源的,轻量级的php开发框架

ThinkPHP 6.0.13版本中存在反序列化漏洞,攻击者可通过精心设计的 payload 在 Psr6Cache 组件中通过反序列化执行任意代码,甚至接管服务器

该漏洞已存在 POC。

漏洞名称ThinkPHP v6.0.13 存在反序列化漏洞
漏洞类型反序列化
发现时间2022/9/15
漏洞影响广度
MPS编号MPS-2022-55511
CVE编号CVE-2022-38352
CNVD编号-

影响范围

ThinkPHP@[6.0.13, 6.0.13]

修复方案

避免使用unserialize()方法去反序列化用户输入的数据。

参考链接

https://www.oscs1024.com/hd/MPS-2022-55511

https://nvd.nist.gov/vuln/detail/CVE-2022-38352

https://github.com/top-think/framework/issues/2749

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/?src=csdn

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=csdn

来源地址:https://blog.csdn.net/cups107/article/details/126876236

您可能感兴趣的文档:

--结束END--

本文标题: ThinkPHP v6.0.13 存在反序列化漏洞

本文链接: https://lsjlt.com/news/390098.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

猜你喜欢
  • ThinkPHP v6.0.13 存在反序列化漏洞
    漏洞描述 ThinkPHP 是一个免费开源的,轻量级的PHP开发框架。 ThinkPHP 6.0.13版本中存在反序列化漏洞,攻击者可通过精心设计的 payload 在 Psr6Cache 组件中通过...
    99+
    2023-09-02
    apache 安全 php
  • thinkphp 反序列化漏洞
    文章目录 配置xdebug反序列化漏洞利用链详细分析poc1(任意文件删除)poc2(任意命令执行) 补充代码 配置xdebug php.ini [Xdebug]zend_ext...
    99+
    2023-09-04
    apache php 开发语言 web安全 网络安全
  • 【反序列化漏洞-02】PHP反序列化漏洞实验详解
    为什么要序列化 百度百科上关于序列化的定义是,将对象的状态信息转换为可以存储或传输的形式(字符串)的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区(非关系型键值对形式的数据库Redis,与数组类似)。以后,可以通过从存储区中...
    99+
    2023-09-21
    序列化 反序列化 PHP反序列化漏洞 PHP魔术方法 网络安全 Powered by 金山文档
  • 反序列化漏洞(PHP)
    反序列化漏洞 0x01. 序列化和反序列化是什么 序列化:变量转换为可保存或传输的字符串的过程; 反序列化:把序列化的字符串再转化成原来的变量使用 作用:可轻松地存储和传输数据,使程序更...
    99+
    2023-09-03
    php web安全 安全
  • PHP 反序列化漏洞
    PHP反序列化漏洞在实际测试中出现的频率并不高,主要常出现在CTF中。 PHP序列化概述 PHP序列化函数: serialize:将PHP的数据,数组,对象等序列化为字符串unserialize:将序列化后的字符串反序列化为数据,数组,对...
    99+
    2023-09-01
    php web安全
  • 全网最详细thinkPHP反序列化漏洞详解
    三:ThinkPHP中的PHAR反序列化   漏洞挖掘原理利用自动调用的魔术方法,一步一步去寻找调用链,寻找可控点,在unserialize和phar://触发 1.漏洞起点为/pipes/windows.php中的__destruct(...
    99+
    2023-09-14
    php 服务器 web安全
  • 【反序列化漏洞-01】序列化与反序列化概述
    为什么要序列化 百度百科上关于序列化的定义是,将对象的状态信息转换为可以存储或传输的形式(字符串)的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区(非关系型键值对形式的数据库Redis,与数组类似)。以后,可以通过从存储区中...
    99+
    2023-09-06
    web安全 安全 反序列化 序列化 PHP反序列化漏洞 Powered by 金山文档
  • 反序列化漏洞详解
    目录 一、什么是序列化和反序列化 二、什么是反序列化漏洞 三、序列化函数(serialize) 四、反序列化(unserialize) ​五、什么是PHP魔术方法 六、一些常见的魔术方法 七、魔术方法的利用  八、反序列化漏洞的利用 1._...
    99+
    2023-09-02
    web安全 安全 php
  • phpmyadmin scripts/setup.php 反序列化漏洞
    文章目录 0x01 影响版本 0x02 漏洞复现 0x03 补充知识点: ...
    99+
    2023-09-03
    php 开发语言 linux
  • thinkphp5.0.24反序列化漏洞分析
    thinkphp5.0.24反序列化漏洞分析 文章目录 thinkphp5.0.24反序列化漏洞分析 具体分析 反序列化起点 toArray ge...
    99+
    2023-09-03
    安全 php web安全 数据库 开发语言
  • 浅谈phar反序列化漏洞
    目录 基础知识 前言 Phar基础 Phar文件结构 受影响的函数 漏洞实验 实验一 实验二 过滤绕过 补充 基础知识 前言 PHP反序列化常见的是使用unserilize()进行反序列化,除此之外还有其它的反序列化方法,不需要用到un...
    99+
    2023-09-09
    web安全 网络安全 php
  • php反序列化漏洞之pop链
    目录 POP链简介 pop面向属性编程: pop chain pop链利用技巧 1、在pop链中出现的方法: 2、反序列化中为了避免信息丢失,可以使用大写S,支持字符串的编码 3、深浅copy 4、利用php伪协议 POP键构造复现: 例...
    99+
    2023-09-29
    安全 web安全
  • TP 5.0.24反序列化漏洞分析
    前言 很久没发过文章了,最近在研究审计链条相关的东西,codeql,ast,以及一些java的东西很多东西还是没学明白就先不写出来丢人了,写这篇tp的原因呢 虽然这个漏洞的分析文章蛮多了,但是还是跟着...
    99+
    2023-08-31
    php 安全 web安全
  • PHP反序列化漏洞基础概要
    目录 什么是反序列化漏洞? 序列化 serialize 反序列化 unserialize 常见魔法函数 反序列化漏洞防御 什么是反序列化漏洞? 反序列化又叫对象注入,漏洞产生是程序在处理对象、魔术函数以及序列化问...
    99+
    2023-09-06
    php 开发语言 安全
  • PHP反序列化漏洞实例分析
    本篇内容介绍了“PHP反序列化漏洞实例分析”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!一、PHP面向对象编程在面向对象的程序设计(Obje...
    99+
    2023-06-29
  • PHP反序列化漏洞怎么修复
    修复PHP反序列化漏洞可以采取以下措施: 检查并过滤用户输入:在反序列化之前,对用户输入进行严格的过滤和检查,只允许特定的类型和...
    99+
    2023-10-22
    PHP
  • PHPsession反序列化漏洞深入探究
    目录PHP sessionphp三种序列化处理器PHP session php session 反序列化漏洞存在的原因:当序列化session和读取反序列化字符时采用的序列化选择器不...
    99+
    2022-11-16
    PHP session PHP session反序列化
  • fastjson反序列化漏洞怎么解决
    要解决fastjson反序列化漏洞,可以采取以下几种措施:1. 更新fastjson版本:及时更新fastjson到最新版本,因为漏...
    99+
    2023-08-14
    fastjson
  • spring反序列化漏洞怎么修复
    修复Spring反序列化漏洞的一种常见方法是禁用默认的反序列化机制,使用自定义的反序列化过滤器来限制可反序列化的类和属性。以下是一些...
    99+
    2023-08-18
    spring
  • java反序列化漏洞怎么修复
    修复Java反序列化漏洞可以采取以下措施:1. 反序列化白名单:在反序列化操作之前,先进行输入验证,只接受预先定义好的类进行反序列化...
    99+
    2023-08-19
    java
软考高级职称资格查询
热门wiki
近期文章
推荐阅读
热门问答
热门标签
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。

  • 官方手机版

  • 微信公众号

  • 商务合作