ThinkPHP官方2018年12月9日发布重要的，修复了一个严重的远程代码执行漏洞。该更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞，受影响的版本包括5.0和5.1版本，推荐尽快更新到最新版本。

漏洞分析

Thinkphp v5.0.x补丁地址: 

Thinkphp v5.1.x补丁地址: 

关键代码：

// 获取控制器名$controller       = strip_tags($result[1] ?: $this->rule->getConfig('default_controller'));

在修复之前程序未对控制器进行过滤，导致攻击者可以通过引入\符号来调用任意类方法。