前两天看到 ThinkPHP6.0 的一个漏洞： 【安全风险通告】ThinkPHP 6.0 “任意”文件创建漏洞安全风险通告 。由于没有漏洞细节，只能通过这些描述及官方 commit 记录来还原一下漏洞细节。