`
bardo
  • 浏览: 378906 次
  • 性别: Icon_minigender_1
  • 来自: 上海
博客专栏
D1407912-ab64-3e76-ae37-b31aa4afa398
浅述PHP设计模式
浏览量:11820
9d6df9f7-91da-3787-a37c-0e826525dd5d
Zend Framewor...
浏览量:10128
85b628bd-a2ed-3de2-a4b1-0d34985ae8b6
PHP的IDE(集成开发环...
浏览量:9516
社区版块
存档分类
最新评论

FastAdmin系统后台存在高危安全漏洞

    博客分类:
  • PHP
阅读更多

FastAdmin系统后台存在高危安全漏洞

FastAdmin系统后台存在任意删除文件漏洞

漏洞链接参见:

国家信息安全中心漏洞共享平台

其实,漏洞远远不只这一个。原因相当简单,因为此框架是基于thinkphp开发的,其版本是5.0,而从5.0到5.1的多个小版本均有各种高危安全漏洞。并且,可悲的是thinkphp官方并未提供无缝升级的补丁。

我曾经用composer  update升级,官方网站说的是可以无缝平滑升级,结果是,升级后,系统瘫痪了。

我也试过只升级指定的组件,结果,一样出现大量的问题。

并且,还有一点,那就是,如果程序员在生产环境未去除debug选项,那么,非法路由则会直接抛出异常,而不是404,代码调试信息完全暴露。

另外,5.0的事务计数器也有问题,出错后会导致表死锁。

以上这些是Thinkphp的问题,但由于fastadmin是基于它开发的,所以,这个问题升级或打补丁均涉及到Thinkphp内核代码的更改与fastadmin框架的修改。

另一方面,因为漏洞太多,你也几乎改不了。

比如,有人整理的清单如下

ThinkPHP漏洞集合

除了上文汇总的35个之外,还有SQL注入安全漏洞。详细链接请查看:

CVE发布的漏洞详情

 

所以,笔者提示,请尽快更换你的框架!

 

分享到:
评论

相关推荐

    fastadmin(V1.0.0.20200506_beta) 前台 getshell(文件上传解析) 漏洞分析1

    FastAdmin是一款基于ThinkPHP和Bootstrap构建的高效后台开发框架,但近期在补天漏洞响应平台上发现了一个针对Fastadmin的文件上传漏洞,允许攻击者通过上传恶意文件并解析为可执行文件,对系统安全构成威胁。此漏洞...

    网络系统安全评估及高危漏洞.rar

    网络安全是信息化社会中至关重要的一个领域,而网络系统安全评估及高危漏洞的主题则直指这一领域的核心问题。网络系统安全评估旨在识别、分析和管理潜在的风险,确保系统的稳定运行和数据的安全。高危漏洞则是这些...

    2020年活跃高危安全漏洞盘点.pdf

    2020年活跃高危安全漏洞盘点.pdf

    网络系统安全评估及高危漏洞.pptx

    网络系统安全评估及高危漏洞.pptx

    安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip

    在IT行业中,系统安全是至关重要的领域,尤其是对于企业及个人用户来说,防范高危漏洞是保障数据安全的基础。"安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip" 提供的是一款专为解决这一问题设计的软件,...

    《2024攻防演练必修高危漏洞集合》

    - 畅捷通 T+ 的 App_Code.ashx 文件存在安全问题,可能导致远程命令执行。 - 攻击者可以通过发送特制的 HTTP 请求来利用此漏洞,从而执行任意命令。 - **影响范围**: - 所有未打补丁的畅捷通 T+ 版本。 - **检测...

    Bash高危安全漏洞 解决方案

    当用户正常访问时,只要shell是唤醒状态,这个漏洞就允许攻击者执行任意代码命令,并且已经在企业级软件中存在好长时间。 Bash漏洞的严重级别为“10”。它与“心脏出血”漏洞不同,“心脏出血”只能借助窃取用户电脑...

    网络安全漏洞扫描服务方案.docx

    安全漏洞,即Security Hole,是系统在设计、实现或策略上的缺陷,允许未经授权的访问或破坏。0-day攻击是指利用尚未公开或未修复的漏洞进行的攻击,由于没有可用的补丁,这些攻击极具危险性。 1.2 服务发展情况 ...

    网络系统安全评估及高危漏洞.ppt

    安全态势 (15分钟) 安全标准与风险评估(90分钟) 概述(15分钟) 通用准则CC (45分钟) BS7799 (30分钟) ...20个最危险的安全漏洞(25分钟) 网络安全维护(20分钟) 安全编程与其他安全技术领域(5分钟)

    xp系统高危端口关闭工具

    标题中的“xp系统高危端口关闭工具”指的是针对微软Windows XP操作系统的一个安全软件或...此外,Windows XP系统已经停止官方支持,可能存在大量未修复的安全漏洞,建议升级到更现代的操作系统以获得更好的安全保护。

    关于Apache Struts 2软件存在高危漏洞的紧急通报003

    根据温州市网络与信息安全信息通报中心发布的紧急通报(2017年第3期),Apache Struts 2软件中存在一个远程命令执行高危漏洞。此漏洞被正式编号为CVE-2017-5638,它允许攻击者在不受影响的服务器上执行任意命令。受...

    2024HW必修高危漏洞集合-v3.0

    本手册旨在帮助企业提前识别并处理可能存在的高危漏洞,减少因这些漏洞引发的安全事件。 #### 二、漏洞汇总与分析 本节将详细介绍《2024HW必修高危漏洞集合_3.0》中列举的部分高危漏洞及其影响。 ##### 1. 远程...

    2023攻防演练必修高危漏洞集合

    本资源摘要信息为 2023 年攻防演练必修高危漏洞集合,涵盖了近两年来攻防演练期间红队最常利用的高危漏洞。该集合包含了详细的漏洞基础信息、检测规则和修复方案,旨在帮助企业在攻防演练前期进行自我风险排查,降低...

    高危儿随访管理系统需求规格说明书_医院随访系统的目的

    《高危儿随访管理系统需求规格说明书》详细阐述了针对...总之,《高危儿随访管理系统需求规格说明书》为开发一个高效、安全、用户友好的医疗信息系统提供了全面的需求定义,为高危儿的健康管理提供了有力的技术支持。

    Intel等主流处理器爆出多个高危漏洞威胁系统安全.pdf

    【描述】:报告指出,包括Intel在内的主流处理器存在严重的安全漏洞,如熔断(Meltdown)和幽灵(Spectre),这些芯片级别的漏洞可能导致用户的重要信息,如账户、密码和密钥等被非法获取。 【标签】:处理器、微型...

    2023年攻防演练利器之必修高危漏洞合集(包含详细修复建议)

    通过自动化工具,企业可以高效地发现和修补系统中的安全漏洞,减少人工介入的时间和错误,提高防御效率。 **漏洞详解:** 1. **Apache Log4j2 远程代码执行漏洞**:这是2021年引起广泛关注的安全事件,Log4j2的...

    2023攻防演练必修高危漏洞集合.pdf

    随着网络安全的重要性日益增强,高危漏洞的存在已成为企业网络安全防护的薄弱点。为帮助企业降低因高危漏洞而“城池失守”的风险,斗象科技漏洞情报中心发布了 HW 必修高危漏洞集合报告。本报告整合了近两年在攻防...

    suse11安全漏洞整改

    安全漏洞整改是确保系统免受攻击和恶意软件的关键步骤。本文将详细解析SUSE 11的安全策略部署和整改措施,以提高系统的整体安全性。 1. **Bash漏洞检查与加固**: Bash漏洞,也被称为Shellshock,是一个严重影响...

    关于对Apache Tomcat 文件包含高危漏洞开展安全加固的预警通报(1).doc

    Apache Tomcat 文件包含高危漏洞(CVE-2020-1938 对应 CNVD-2020-10487)是近期发现的一项高危安全漏洞,该漏洞存在于 Tomcat 服务器的 AJP 协议中,攻击者可以通过构造特定参数的方式,读取服务器 webapp 目录下...

    大华智慧园区综合管理平台存在未授权高危漏洞(0Day)及以往漏洞POC合集

    大华智慧园区综合管理平台存在未授权高危漏洞(0Day)及以往漏洞POC合集

Global site tag (gtag.js) - Google Analytics