近日 ThinkPHP5.* 版本发布了一个安全更新，本次更新主要涉及对一个安全漏洞的修复。该漏洞形成原因是由于ThinkPHP5框架未对控制器名进行足够的可信性检测，而导致服务器在没有开启强制路由的情况下可远程未授权执行任意代码，受影响的版本包括 5.0 和 5.1 版本，推荐尽快更新到最新版本。该漏洞危害较大，目前网络上已公开了漏洞的详细分析资料和攻击方法。

漏洞概述

ThinkPHP是一套开源的、基于PHP的轻量级Web应用开发框架。

ThinkPHP5.* 版本由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下执行任意代码，甚至获得网站控制权。

漏洞危害

通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。

受影响范围

ThinkPHP 5.0 和 5.1 版本。

修复建议

一、ThinkPHP 官方已发布安全更新，请及时更新至最新版本。 

二、如果暂时无法更新到最新版本，可以参考官方版本库代码记录，自行增加相关代码。官方参考链接：https://blog.thinkphp.cn/869075。