欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

FastAdmin系统后台存在高危安全漏洞

程序员文章站 2022-05-11 08:53:03
...

FastAdmin系统后台存在高危安全漏洞

FastAdmin系统后台存在任意删除文件漏洞

漏洞链接参见:

国家信息安全中心漏洞共享平台

其实,漏洞远远不只这一个。原因相当简单,因为此框架是基于thinkphp开发的,其版本是5.0,而从5.0到5.1的多个小版本均有各种高危安全漏洞。并且,可悲的是thinkphp官方并未提供无缝升级的补丁。

我曾经用composer  update升级,官方网站说的是可以无缝平滑升级,结果是,升级后,系统瘫痪了。

我也试过只升级指定的组件,结果,一样出现大量的问题。

并且,还有一点,那就是,如果程序员在生产环境未去除debug选项,那么,非法路由则会直接抛出异常,而不是404,代码调试信息完全暴露。

另外,5.0的事务计数器也有问题,出错后会导致表死锁。

以上这些是Thinkphp的问题,但由于fastadmin是基于它开发的,所以,这个问题升级或打补丁均涉及到Thinkphp内核代码的更改与fastadmin框架的修改。

另一方面,因为漏洞太多,你也几乎改不了。

比如,有人整理的清单如下

ThinkPHP漏洞集合

除了上文汇总的35个之外,还有SQL注入安全漏洞。详细链接请查看:

CVE发布的漏洞详情

 

所以,笔者提示,请尽快更换你的框架!