尊敬的腾讯云客户:
您好,近日,Fastadmin 前台被曝存在 getshell 漏洞。攻击者可利用该漏洞传入包含指定路径的后门文件,进而获取应用控制权限。
为避免您的业务受影响,腾讯云安全中心建议您及时修复。
FastAdmin 前台 getshell 漏洞
FastAdmin是一款基于ThinkPHP5 + Bootstrap的极速后台开发框架,具有强大的一键生成、完善的前端功能组件开发和强大的插件扩展等功能。
在/application/index/User.php文件中,由于_empty方法的$name参数可控,可导致fetch模板注入。攻击者可利用该漏洞传入包含指定路径的后门文件,进而getshell。该漏洞利用需要开启会员中心功能。
1、建议临时关闭站点会员中心功能,操作如下:
打开/application/config.php文件,修改'usercenter' => false
2、暂时关闭文件上传功能,避免攻击者上传恶意文件。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。