FastAdmin系统后台存在高危安全漏洞

程序员文章站 2022-05-11 08:53:03

...

FastAdmin系统后台存在任意删除文件漏洞

漏洞链接参见：

其实，漏洞远远不只这一个。原因相当简单，因为此框架是基于thinkphp开发的，其版本是5.0，而从5.0到5.1的多个小版本均有各种高危安全漏洞。并且，可悲的是thinkphp官方并未提供无缝升级的补丁。

我曾经用composer update升级，官方网站说的是可以无缝平滑升级，结果是，升级后，系统瘫痪了。

我也试过只升级指定的组件，结果，一样出现大量的问题。

并且，还有一点，那就是，如果程序员在生产环境未去除debug选项，那么，非法路由则会直接抛出异常，而不是404，代码调试信息完全暴露。

另外，5.0的事务计数器也有问题，出错后会导致表死锁。

以上这些是Thinkphp的问题，但由于fastadmin是基于它开发的，所以，这个问题升级或打补丁均涉及到Thinkphp内核代码的更改与fastadmin框架的修改。

另一方面，因为漏洞太多，你也几乎改不了。

比如，有人整理的清单如下

除了上文汇总的35个之外，还有SQL注入安全漏洞。详细链接请查看：

所以，笔者提示，请尽快更换你的框架！