framework ThinkPHP v6.0.13反序列化漏洞

CVE-2022-38352 该漏洞已被标记存在一个月，希望尽快发版修复@liu21st

ThinkPHP v6.0.13 was discovered to contain a deserialization vulnerability via the component League\Flysystem\Cached\Storage\Psr6Cache. This vulnerability allows attackers to execute arbitrary code via a crafted payload.

已有相关Issues：https://github.com/top-think/framework/issues/2749

Sep 20 '22 15:09 Rodots

League\Flysystem\Cached\Storage\Psr6Cache. 这个又不是tp的文件

Sep 26 '22 01:09 yuanzhihai

依赖的，意思是该升级了

Sep 26 '22 01:09 augushong

很奇怪 tp依赖这个就有composer 检查提示 laravel8 也依赖这个就不提示搞不清楚

Sep 26 '22 01:09 yuanzhihai

很奇怪 tp依赖这个就有composer 检查提示 laravel8 也依赖这个就不提示搞不清楚

对的，我就是因为这个composer的原因才特意来这里提Issues的，好像这个漏洞标记是针对tp的，具体我也不清楚；时间也过了很久了，提示一直存在。

Sep 26 '22 01:09 Rodots

League\Flysystem这玩意儿隔三岔五就冒出来个漏洞提示。

Oct 13 '22 01:10 ichynul

是啊，有外部漏洞库披露漏洞之后，公司里头搞安全的就会提单。

Oct 14 '22 01:10 Jiaoma

这个改起来还需要慎重，最好能同时兼容flysystem的1版本和新版本。

Oct 14 '22 01:10 augushong

这个改起来还需要慎重，最好能同时兼容flysystem的1版本和新版本。

兼容不了

Oct 14 '22 01:10 yuanzhihai

我之前设想过，tp本身只是使用了flysystem的操作。其实自己抽象一套方法出来，再做个扩展库，根据composer加载的版本调用就行。

但是比较忙，没心思弄。

Oct 14 '22 01:10 augushong

我自己fork 一版直接用了 flysystem 3.0

Oct 14 '22 01:10 yuanzhihai

恩，这样其实是也很好很专业。

Oct 14 '22 01:10 augushong

很奇怪 tp依赖这个就有composer 检查提示 laravel8 也依赖这个就不提示搞不清楚

各自使用的版本不一样吧?

Oct 17 '22 06:10 caocos

升级 6.0.14 不提示了

Oct 26 '22 02:10 yuanzhihai

升级 6.0.14 不提示了

Oct 26 '22 02:10 Rodots

那6.1.0这个漏洞也算修复了吗？是这个MR修复的吗？如果是，我看这个MR里涉及的文件在6.1.0中filesystem这个文件夹都没了，不知道修复了没有

Oct 27 '22 01:10 Jiaoma

那6.1.0这个漏洞也算修复了吗？是这个MR修复的吗？如果是，我看这个MR里涉及的文件在6.1.0中filesystem这个文件夹都没了，不知道修复了没有

算修复了，因为本身就是filesystem导致的，直接移除了

Oct 27 '22 01:10 Rodots

那6.1.0这个漏洞也算修复了吗？是这个MR修复的吗？如果是，我看这个MR里涉及的文件在6.1.0中filesystem这个文件夹都没了，不知道修复了没有

修复了可以使用 think-filesystem 2.0

Oct 27 '22 01:10 yuanzhihai

framework framework copied to clipboard

ThinkPHP v6.0.13反序列化漏洞

framework
framework copied to clipboard