Tencent Xcheck代码安全检测：ThinkAdmin远程代码执行漏洞预警

0x00 Xcheck介绍

Xcheck是腾讯自研的静态应用安全测试(SAST，Static application security testing)工具。现已支持Python、NodeJS、PHP、Java 、Go五中语言的代码安全检测。

0x01 ThinkAdmin

ThinkAdmin 是一款基于 ThinkPHP 开发的后台管理开源框架，在码云、github拥有1k+star。

0x02 漏洞详情

issue: https://github.com/zoujingli/ThinkAdmin/issues/238

v6

app/admin/controller/api/Update.php
line: 46 $this->rules = unserialize($this->request->post('rules', 'a:0:{}', ''));
line: 47 $this->ignore = unserialize($this->request->post('ignore', 'a:0:{}', ''));

v6 v5 v4
app/wechat/controller/api/Push.php
line: 102 $this->receive = $this->toLower(unserialize($this->request->post('receive', '', null)));

影响版本：v4,v5,v6

关键代码：unserialize($this->request->post('rules', 'a:0:{}', ''));

直接对用户参数进行反序列化操作，导致远程代码执行风险。

发现漏洞第一时间已及时告知开发者和申报CNVD，CNVD将于近期公开。还请及时更新代码，避免被黑客利用。