FastAdmin系统后台存在高危安全漏洞 - LAMP ≠ linux+apache+mysql+php - ITeye博客

`

bardo

浏览: 378167 次
性别:
来自: 上海

最近访客更多访客>>

foolishdault

realroc

winting

navaa

博主相关

博客

微博

相册

收藏

留言

关于我

博客专栏

: 浅述PHP设计模式
浏览量：11803

: Zend Framewor...
浏览量：10111

: PHP的IDE(集成开发环...
浏览量：9495

文章分类

社区版块

存档分类

最新评论

周仁明： xin911 写道周仁明写道js的借用了，谢谢！java的版 ...
人民币金额数字转中文大写程序多种编程语言汇总2011版
xin911：周仁明写道js的借用了，谢谢！java的版本必然是不对的问题 ...
人民币金额数字转中文大写程序多种编程语言汇总2011版
周仁明： js的借用了，谢谢！java的版本必然是不对的问题很多。
人民币金额数字转中文大写程序多种编程语言汇总2011版
zhangzhj85： ...
公开几个移动互联产品设计大神的观点
white_crucifix：嗯，不过网络诊断功能能帮上忙的次数的确微乎其微
戏说windows 7 中的优秀设计

FastAdmin系统后台存在高危安全漏洞

博客分类：

PHP

php ThinkPhp FastAdmin 安全漏洞

阅读更多

FastAdmin系统后台存在高危安全漏洞

FastAdmin系统后台存在任意删除文件漏洞

漏洞链接参见：

国家信息安全中心漏洞共享平台

其实，漏洞远远不只这一个。原因相当简单，因为此框架是基于thinkphp开发的，其版本是5.0，而从5.0到5.1的多个小版本均有各种高危安全漏洞。并且，可悲的是thinkphp官方并未提供无缝升级的补丁。

我曾经用composer update升级，官方网站说的是可以无缝平滑升级，结果是，升级后，系统瘫痪了。

我也试过只升级指定的组件，结果，一样出现大量的问题。

并且，还有一点，那就是，如果程序员在生产环境未去除debug选项，那么，非法路由则会直接抛出异常，而不是404，代码调试信息完全暴露。

另外，5.0的事务计数器也有问题，出错后会导致表死锁。

以上这些是Thinkphp的问题，但由于fastadmin是基于它开发的，所以，这个问题升级或打补丁均涉及到Thinkphp内核代码的更改与fastadmin框架的修改。

另一方面，因为漏洞太多，你也几乎改不了。

比如，有人整理的清单如下

ThinkPHP漏洞集合

除了上文汇总的35个之外，还有SQL注入安全漏洞。详细链接请查看：

CVE发布的漏洞详情

所以，笔者提示，请尽快更换你的框架！

分享到：

PHP数组函数（按使用频度排序） | PHP流数据动态结构处理包简介

2019-09-07 23:27
浏览 2354
评论(0)
分类:编程语言
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

fastadmin(V1.0.0.20200506_beta) 前台 getshell(文件上传解析) 漏洞分析1: FastAdmin是一款基于ThinkPHP和Bootstrap构建的高效后台开发框架，但近期在补天漏洞响应平台上发现了一个针对Fastadmin的文件上传漏洞，允许攻击者通过上传恶意文件并解析为可执行文件，对系统安全构成威胁。此漏洞...

网络系统安全评估及高危漏洞.rar: 网络安全是信息化社会中至关重要的一个领域，而网络系统安全评估及高危漏洞的主题则直指这一领域的核心问题。网络系统安全评估旨在识别、分析和管理潜在的风险，确保系统的稳定运行和数据的安全。高危漏洞则是这些...

2020年活跃高危安全漏洞盘点.pdf: 2020年活跃高危安全漏洞盘点.pdf

网络系统安全评估及高危漏洞.pptx: 网络系统安全评估及高危漏洞.pptx

安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip: 在IT行业中，系统安全是至关重要的领域，尤其是对于企业及个人用户来说，防范高危漏洞是保障数据安全的基础。"安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip" 提供的是一款专为解决这一问题设计的软件，...

《2024攻防演练必修高危漏洞集合》: - 畅捷通 T+ 的 App_Code.ashx 文件存在安全问题，可能导致远程命令执行。 - 攻击者可以通过发送特制的 HTTP 请求来利用此漏洞，从而执行任意命令。 - **影响范围**： - 所有未打补丁的畅捷通 T+ 版本。 - **检测...

Bash高危安全漏洞解决方案: 当用户正常访问时，只要shell是唤醒状态，这个漏洞就允许攻击者执行任意代码命令，并且已经在企业级软件中存在好长时间。 Bash漏洞的严重级别为“10”。它与“心脏出血”漏洞不同，“心脏出血”只能借助窃取用户电脑...

网络安全漏洞扫描服务方案.docx: 安全漏洞，即Security Hole，是系统在设计、实现或策略上的缺陷，允许未经授权的访问或破坏。0-day攻击是指利用尚未公开或未修复的漏洞进行的攻击，由于没有可用的补丁，这些攻击极具危险性。 1.2 服务发展情况 ...

网络系统安全评估及高危漏洞.ppt: 安全态势（15分钟）安全标准与风险评估（90分钟) 概述（15分钟）通用准则CC （45分钟） BS7799 （30分钟） ...20个最危险的安全漏洞（25分钟）网络安全维护（20分钟）安全编程与其他安全技术领域（5分钟）

xp系统高危端口关闭工具: 标题中的“xp系统高危端口关闭工具”指的是针对微软Windows XP操作系统的一个安全软件或...此外，Windows XP系统已经停止官方支持，可能存在大量未修复的安全漏洞，建议升级到更现代的操作系统以获得更好的安全保护。

关于Apache Struts 2软件存在高危漏洞的紧急通报003: 根据温州市网络与信息安全信息通报中心发布的紧急通报（2017年第3期），Apache Struts 2软件中存在一个远程命令执行高危漏洞。此漏洞被正式编号为CVE-2017-5638，它允许攻击者在不受影响的服务器上执行任意命令。受...

2024HW必修高危漏洞集合-v3.0: 本手册旨在帮助企业提前识别并处理可能存在的高危漏洞，减少因这些漏洞引发的安全事件。 #### 二、漏洞汇总与分析本节将详细介绍《2024HW必修高危漏洞集合_3.0》中列举的部分高危漏洞及其影响。 ##### 1. 远程...

2023攻防演练必修高危漏洞集合: 本资源摘要信息为 2023 年攻防演练必修高危漏洞集合，涵盖了近两年来攻防演练期间红队最常利用的高危漏洞。该集合包含了详细的漏洞基础信息、检测规则和修复方案，旨在帮助企业在攻防演练前期进行自我风险排查，降低...

Intel等主流处理器爆出多个高危漏洞威胁系统安全.pdf: 【描述】：报告指出，包括Intel在内的主流处理器存在严重的安全漏洞，如熔断（Meltdown）和幽灵（Spectre），这些芯片级别的漏洞可能导致用户的重要信息，如账户、密码和密钥等被非法获取。【标签】：处理器、微型...

2023年攻防演练利器之必修高危漏洞合集（包含详细修复建议）: 通过自动化工具，企业可以高效地发现和修补系统中的安全漏洞，减少人工介入的时间和错误，提高防御效率。 **漏洞详解：** 1. **Apache Log4j2 远程代码执行漏洞**：这是2021年引起广泛关注的安全事件，Log4j2的...

suse11安全漏洞整改: 安全漏洞整改是确保系统免受攻击和恶意软件的关键步骤。本文将详细解析SUSE 11的安全策略部署和整改措施，以提高系统的整体安全性。 1. **Bash漏洞检查与加固**： Bash漏洞，也被称为Shellshock，是一个严重影响...

高危儿随访管理系统需求规格说明书_医院随访系统的目的: 《高危儿随访管理系统需求规格说明书》详细阐述了针对...总之，《高危儿随访管理系统需求规格说明书》为开发一个高效、安全、用户友好的医疗信息系统提供了全面的需求定义，为高危儿的健康管理提供了有力的技术支持。

2023攻防演练必修高危漏洞集合.pdf: 随着网络安全的重要性日益增强，高危漏洞的存在已成为企业网络安全防护的薄弱点。为帮助企业降低因高危漏洞而“城池失守”的风险，斗象科技漏洞情报中心发布了 HW 必修高危漏洞集合报告。本报告整合了近两年在攻防...

关于对Apache Tomcat 文件包含高危漏洞开展安全加固的预警通报(1).doc: Apache Tomcat 文件包含高危漏洞（CVE-2020-1938 对应 CNVD-2020-10487）是近期发现的一项高危安全漏洞，该漏洞存在于 Tomcat 服务器的 AJP 协议中，攻击者可以通过构造特定参数的方式，读取服务器 webapp 目录下...

大华智慧园区综合管理平台存在未授权高危漏洞（0Day）及以往漏洞POC合集: 大华智慧园区综合管理平台存在未授权高危漏洞（0Day）及以往漏洞POC合集

Global site tag (gtag.js) - Google Analytics