【漏洞预警】ThinkCMF templateFile 远程代码执行漏洞

2019年11月6日，阿里云应急响应中心监测到ThinkCMF templateFile 远程代码执行漏洞。攻击者通过构造特定的请求，成功利用该漏洞可直接获取服务器权限。

漏洞描述
由于ThinkCMF对某些函数的访问权限设置存在问题，攻击者在无需任何权限情况下可以通过构造恶意请求，向服务器写入任意内容的文件，达到远程代码执行的目的。攻击者利用该漏洞可以直接获取到服务器权限，阿里云应急响应中心提醒ThinkCMF用户尽快采取安全措施阻止漏洞攻击。

影响版本
ThinkCMF X1.6.0
ThinkCMF X2.1.0
ThinkCMF X2.2.0
ThinkCMF X2.2.1
ThinkCMF X2.2.2

安全建议
1. 请关注ThinkCMF官方以便获取更新信息：https://www.thinkcmf.com/
2. 自行修改代码。将文件 HomebaseController.class.php 和 AdminbaseController.class.php 类中 display 和 fetch 函数的修饰符改为 protected。

相关链接
https://xz.aliyun.com/t/6626

地址：https://m.aliyun.com/doc/article_detail/1060148920.html

mrwu888 · 发表于 2019-11-6 13:35:54

知道了，谢谢提醒

痞子哥 · 发表于 2019-11-6 19:11:30

没想到阿里云的预警比微信公众号的晚了几天

█菠萝云买2送1活动！12G内存99元	阿里云国际低折扣多云自助平台	APP分发-无行业限制免审核	A4招租，联系qq394030111	A5招租，联系qq394030111
高防服务器，无视一切流量攻击	【阿里云】宝塔一键部署，低至5折	A8招租，联系qq394030111	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
█ 易探云·香港/美国vps仅9元 █	▶CPS云◀海外大带宽vps服务器	OV/EV SSL证书，可当日签发	【云防护】专注域名和网站安全防护	A15招租，联系qq394030111