FastAdmin系统后台存在高危安全漏洞
FastAdmin系统后台存在任意删除文件漏洞
漏洞链接参见:
国家信息安全中心漏洞共享平台
其实,漏洞远远不只这一个。原因相当简单,因为此框架是基于thinkphp开发的,其版本是5.0,而从5.0到5.1的多个小版本均有各种高危安全漏洞。并且,可悲的是thinkphp官方并未提供无缝升级的补丁。
我曾经用composer? update升级,官方网站说的是可以无缝平滑升级,结果是,升级后,系统瘫痪了。
我也试过只升级指定的组件,结果,一样出现大量的问题。
并且,还有一点,那就是,如果程序员在生产环境未去除debug选项,那么,非法路由则会直接抛出异常,而不是404,代码调试信息完全暴露。
另外,5.0的事务计数器也有问题,出错后会导致表死锁。
以上这些是Thinkphp的问题,但由于fastadmin是基于它开发的,所以,这个问题升级或打补丁均涉及到Thinkphp内核代码的更改与fastadmin框架的修改。
另一方面,因为漏洞太多,你也几乎改不了。
比如,有人整理的清单如下
ThinkPHP漏洞集合
除了上文汇总的35个之外,还有SQL注入安全漏洞。详细链接请查看:
CVE发布的漏洞详情
?
所以,笔者提示,请尽快更换你的框架!
?