1
漏洞描述
2020年9月22日,腾讯安全团队注意到FastAdmin远程代码执行0day漏洞细节曝光,黑客登录前台会员中心,即可远程GetShell,风险极大。
FastAdmin是深圳极速创想科技有限公司开发的一款基于ThinkPHP和Bootstrap的后台开发框架、开放会员中心的站点。FastAdmin基于Apache2.0开源协议发布,被应用于各大行业应用后台管理。
上传特定文件可直接GetShell,该漏洞为0day漏洞,截止目前尚未修复,腾讯安全专家提醒FastAdmin用户尽快采取安全措施防止黑客利用漏洞攻击。
2
漏洞编号
暂无
3漏洞等级
严重
4
受影响的版本
V1.0.0.20180911_beta - V1.0.0.20200506_beta
5
腾讯安全网络空间测绘
腾讯安全网络空间测绘结果显示,FastAdmin组件的应用主要在中国大陆、中国香港和美国,国内主要应用在浙江、上海、广东、北京等省市。
腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 [email protected] 了解产品详情。
6
腾讯安全解决方案
腾讯T-Sec云防火墙规则库将于2020-09-25后支持对FastAdmin远程代码执行0day漏洞利用的检测和拦截,当前规则库尚在灰度测试中,预计9月25日后同步至所有用户。
关于腾讯T-Sec云防火墙的更多信息,可长按识别以下二维码查阅。
腾讯安全专家建议受影响的用户参考官方网站的指引,将FastAdmin升级到最新版本(V1.0.0.20200920_beta),链接:https://www.fastadmin.net/news/83.html
参考链接
https://github.com/karsonzhang/fastadmin/issues/73
https://www.fastadmin.net/
https://www.fastadmin.net/news/83.html
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论