Thinkphp Log日志文件泄漏漏洞

CVE编号

N/A

利用情况

POC 已公开

补丁情况

缓解措施

披露时间

2021-07-22

漏洞描述

ThinkPHP 是一个免费开源的，快速、简单的面向对象的轻量级 PHP 开发框架。 Thinkphp 存在Log日志文件泄漏漏洞，该漏洞源于ThinkPHP 3.x 在安装后会在 Runtime 目录下生成日志，攻击者通过查看日志内容可以在不输入账号密码的前提下登录到管理后台。

解决建议

1.合理配置文件访问权限
2.建议升级该组件至最新版本。

参考链接
https://blog.csdn.net/weixin_40412037/article/details/113885372

阿里云评分 6.5

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 越权影响
• EXP成熟度 POC 已公开
• 补丁情况 缓解措施
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID 漏洞类型