尊敬的腾讯云客户:
您好,近日,Fastadmin 前台被曝存在 getshell 漏洞。攻击者可利用该漏洞传入包含指定路径的后门文件,进而获取应用控制权限。
为避免您的业务受影响,腾讯云安全中心建议您及时修复。
漏洞名称
FastAdmin 前台 getshell 漏洞
漏洞组件
FastAdmin是一款基于ThinkPHP5 + Bootstrap的极速后台开发框架,具有强大的一键生成、完善的前端功能组件开发和强大的插件扩展等功能。
漏洞描述
在/application/index/User.php文件中,由于_empty方法的$name参数可控,可导致fetch模板注入。攻击者可利用该漏洞传入包含指定路径的后门文件,进而getshell。该漏洞利用需要开启会员中心功能。
修复建议
1、建议临时关闭站点会员中心功能,操作如下:
打开/application/config.php文件,修改'usercenter' => false
2、暂时关闭文件上传功能,避免攻击者上传恶意文件。
