[TOC] ## ThinkPHP?開發框架遠程代碼執行漏洞QVD-2022-46174 https://q.thinkphp.cn/blog/6 ThinkPHP?開發框架遠程代碼執行漏洞QVD-2022-46174 漏洞名稱：ThinkPHP?遠程代碼執行漏洞 漏洞編號：QVD-2022-46174 影響范圍：6.0.14以下版本?5.1.42以下版本 危害等級：高 wooadmin2.2.9之前版本的TP版本都受影響 僅TP核心升級指導： 1、服務器vendor務必先打包備份下（防止意外，好及時先恢復，甚至有條件的項目先備份打包?重要\*\*\*\*\*） 2、執行composer?update升級（服務器不方便composer的就先本地composer?update?好） 3、執行?composer?require?topthink/think-filesystem?（TP6.0以后需單獨上傳） 4、刪除服務器的vendor目錄（如果是本地composer?升級的，服務器一定要先刪除vendor目錄，不要直接覆蓋，不然里面有些不要的文件自動刪除不到） 5、打包你本地更新好的vendor目前上傳到服務器并解壓以后得到新的vendor目錄（如果是本地composer?升級的） 6、http://www.hmoore.net/laowu199/e_dev/1957961?按文章修改源碼 7、測試??查看后臺首頁的TP版本是否已經是TP6.1??測試上傳功能??測試列表有關聯的字段是否正常顯示出關聯信息?...... 8、如果沒有使用多語言?，注釋掉app/middleware.php下的?\\think\\middleware\\LoadLangPack::class?中間件?（如果確實composer?update升級不到的?關閉該中間件也可以了） woo1.x老項目已不再維護，建議：config/app.php，將'lang\_switch\_on'=>?true改成?'lang\_switch\_on'=>false? 其他安全建議： 1、https://mp.weixin.qq.com/s/LoQAzDjY2jxF21aA0O4I8A 2、config/cookie.php?httponly?設置為true，如果是https協議?secure建議為true 3、如果是寶塔環境，建議購買和開啟nginx防火墻?或更多安全防護軟件