FastAdmin系统后台存在高危安全漏洞_PHP_编程开发_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 编程开发 > PHP > FastAdmin系统后台存在高危安全漏洞

FastAdmin系统后台存在高危安全漏洞

 2019/9/19 23:27:56  bardo  程序员俱乐部  我要评论(0)
  • 摘要:FastAdmin系统后台存在高危安全漏洞FastAdmin系统后台存在任意删除文件漏洞漏洞链接参见:国家信息安全中心漏洞共享平台其实,漏洞远远不只这一个。原因相当简单,因为此框架是基于thinkphp开发的,其版本是5.0,而从5.0到5.1的多个小版本均有各种高危安全漏洞。并且,可悲的是thinkphp官方并未提供无缝升级的补丁。我曾经用composerupdate升级,官方网站说的是可以无缝平滑升级,结果是,升级后,系统瘫痪了。我也试过只升级指定的组件,结果,一样出现大量的问题。并且
  • 标签:漏洞 安全漏洞

FastAdmin系统后台存在高危安全漏洞

FastAdmin系统后台存在任意删除文件漏洞

漏洞链接参见:

国家信息安全中心漏洞共享平台

其实,漏洞远远不只这一个。原因相当简单,因为此框架是基于thinkphp开发的,其版本是5.0,而从5.0到5.1的多个小版本均有各种高危安全漏洞。并且,可悲的是thinkphp官方并未提供无缝升级的补丁。

我曾经用composer? update升级,官方网站说的是可以无缝平滑升级,结果是,升级后,系统瘫痪了。

我也试过只升级指定的组件,结果,一样出现大量的问题。

并且,还有一点,那就是,如果程序员在生产环境未去除debug选项,那么,非法路由则会直接抛出异常,而不是404,代码调试信息完全暴露。

另外,5.0的事务计数器也有问题,出错后会导致表死锁。

以上这些是Thinkphp的问题,但由于fastadmin是基于它开发的,所以,这个问题升级或打补丁均涉及到Thinkphp内核代码的更改与fastadmin框架的修改。

另一方面,因为漏洞太多,你也几乎改不了。

比如,有人整理的清单如下

ThinkPHP漏洞集合

除了上文汇总的35个之外,还有SQL注入安全漏洞。详细链接请查看:

CVE发布的漏洞详情

?

所以,笔者提示,请尽快更换你的框架!

?

发表评论
用户名: 匿名