【风险通告】FastAdmin会员中心Getshell漏洞

尊敬的腾讯云客户：

您好，近日，Fastadmin 前台被曝存在 getshell 漏洞。攻击者可利用该漏洞传入包含指定路径的后门文件，进而获取应用控制权限。

为避免您的业务受影响，腾讯云安全中心建议您及时修复。

漏洞名称

FastAdmin 前台 getshell 漏洞

漏洞组件

FastAdmin是一款基于ThinkPHP5 + Bootstrap的极速后台开发框架，具有强大的一键生成、完善的前端功能组件开发和强大的插件扩展等功能。

漏洞描述

在/application/index/User.php文件中，由于_empty方法的$name参数可控，可导致fetch模板注入。攻击者可利用该漏洞传入包含指定路径的后门文件，进而getshell。该漏洞利用需要开启会员中心功能。

修复建议

1、建议临时关闭站点会员中心功能，操作如下：

  打开/application/config.php文件，修改'usercenter' => false

2、暂时关闭文件上传功能，避免攻击者上传恶意文件。

参考链接

https://github.com/karsonzhang/fastadmin/issues/73