[TOC] ## ThinkPHP 开发框架远程代码执行漏洞QVD-2022-46174 https://q.thinkphp.cn/blog/6 ThinkPHP 开发框架远程代码执行漏洞QVD-2022-46174 漏洞名称：ThinkPHP 远程代码执行漏洞 漏洞编号：QVD-2022-46174 影响范围：6.0.14以下版本 5.1.42以下版本 危害等级：高 wooadmin2.2.9之前版本的TP版本都受影响 仅TP核心升级指导： 1、服务器vendor务必先打包备份下（防止意外，好及时先恢复，甚至有条件的项目先备份打包 重要\*\*\*\*\*） 2、执行composer update升级（服务器不方便composer的就先本地composer update 好） 3、执行 composer require topthink/think-filesystem （TP6.0以后需单独上传） 4、删除服务器的vendor目录（如果是本地composer 升级的，服务器一定要先删除vendor目录，不要直接覆盖，不然里面有些不要的文件自动删除不到） 5、打包你本地更新好的vendor目前上传到服务器并解压以后得到新的vendor目录（如果是本地composer 升级的） 6、https://www.kancloud.cn/laowu199/e_dev/1957961 按文章修改源码 7、测试  查看后台首页的TP版本是否已经是TP6.1  测试上传功能  测试列表有关联的字段是否正常显示出关联信息 ...... 8、如果没有使用多语言 ，注释掉app/middleware.php下的 \\think\\middleware\\LoadLangPack::class 中间件 （如果确实composer update升级不到的 关闭该中间件也可以了） woo1.x老项目已不再维护，建议：config/app.php，将'lang\_switch\_on'=> true改成 'lang\_switch\_on'=>false  其他安全建议： 1、https://mp.weixin.qq.com/s/LoQAzDjY2jxF21aA0O4I8A 2、config/cookie.php httponly 设置为true，如果是https协议 secure建议为true 3、如果是宝塔环境，建议购买和开启nginx防火墙 或更多安全防护软件