FastAdmin系统后台存在高危安全漏洞
FastAdmin系统后台存在任意删除文件漏洞
漏洞链接参见:
其实,漏洞远远不只这一个。原因相当简单,因为此框架是基于thinkphp开发的,其版本是5.0,而从5.0到5.1的多个小版本均有各种高危安全漏洞。并且,可悲的是thinkphp官方并未提供无缝升级的补丁。
我曾经用composer update升级,官方网站说的是可以无缝平滑升级,结果是,升级后,系统瘫痪了。
我也试过只升级指定的组件,结果,一样出现大量的问题。
并且,还有一点,那就是,如果程序员在生产环境未去除debug选项,那么,非法路由则会直接抛出异常,而不是404,代码调试信息完全暴露。
另外,5.0的事务计数器也有问题,出错后会导致表死锁。
以上这些是Thinkphp的问题,但由于fastadmin是基于它开发的,所以,这个问题升级或打补丁均涉及到Thinkphp内核代码的更改与fastadmin框架的修改。
另一方面,因为漏洞太多,你也几乎改不了。
比如,有人整理的清单如下
除了上文汇总的35个之外,还有SQL注入安全漏洞。详细链接请查看:
所以,笔者提示,请尽快更换你的框架!
相关推荐
2020年活跃高危安全漏洞盘点.pdf
网络系统安全评估及高危漏洞
网络系统安全评估及高危漏洞.pptx
当用户正常访问时,只要shell是唤醒状态,这个漏洞就允许攻击者执行任意代码命令,并且已经在企业级软件中存在好长时间。 Bash漏洞的严重级别为“10”。它与“心脏出血”漏洞不同,“心脏出血”只能借助窃取用户电脑...
安全相关-系统安全-高危漏洞免疫工具软件 v1.0.0.1003.zip
安全态势 (15分钟) 安全标准与风险评估(90分钟) 概述(15分钟) 通用准则CC (45分钟) BS7799 (30分钟) ...20个最危险的安全漏洞(25分钟) 网络安全维护(20分钟) 安全编程与其他安全技术领域(5分钟)
关于Apache Struts 2软件存在高危漏洞的紧急通报003
随着网络安全的发展和攻防演练工作的推进,红蓝双方的技术水平皆在实践中得到了很大的提升,但是数字化快速发展也导致了企业的影子资产增多,企业很多老旧系统依旧存在历史漏洞,与此同时,在攻防演练期间,往往会...
bash-4.1.2-15.el6_5.2.x86_64.rpm,glibc-2.12-1.149.el6_6.5.x86_64,glibc-common-2.12-1.149.el6_6.5.x86_64.rpm,bash-4.1.2-15.el6_5.2.x86_64.rpm
Intel等主流处理器爆出多个高危漏洞威胁系统安全.pdf
介绍 金融电商安全概括 趋势与面临问题 高危漏洞剖析 总结 受利益驱使,金融、电商行业被更多黑客“盯上”,厂商越早地 ...网站安全,内外兼修:解决网站本身安全漏洞,防止黑客攻击; 加强内部研发运维人员安全意识与知识。
高危风险漏洞一直是企业网络安全防护的薄弱点,也成为HW 攻防演练期间 红队的重要突破口;每年HW 期间爆发了大量的高危风险漏洞成为红队突破网络 边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被...
大华智慧园区综合管理平台存在未授权高危漏洞(0Day)及以往漏洞POC合集
漏洞认可度排名情况说明,可结合漏洞信息确定防护范围和边界
从高危漏洞看电商金融安全.pptx
SolarWinds 多个高危漏洞通告 业务安全 安全开发 自动化 云安全 安全测试
推荐,网络安全中的漏洞挖掘实践合集,仅供大家学习参阅,包含内容如下: 针对现实应用的文本对抗攻击研究 安全众测下的漏洞发展新趋势 安卓应用漏洞挖掘 从0到1-发现与拓展攻击面 对基于Git的版本控制...
NTP 安全漏洞(CVE-2015-7974) NTPD PRNG弱加密漏洞(CVE-2014-9294) NTPD PRNG无效熵漏洞(CVE-2014-9293) NTPD 栈缓冲区溢出漏洞(CVE-2014-9295) NTP CRYPTO_ASSOC 内存泄漏导致拒绝服务漏洞(CVE-2015-7701) NTP 安全...
从高危漏洞看电商金融安全-曾裕智 黑客思维
“熔断”与“幽灵” Q&A详解近期高危处理器漏洞风波.pdf