一、概要

近日，華為云關(guān)注到業(yè)界爆出FastAdmin存在遠(yuǎn)程代碼執(zhí)行漏洞，F(xiàn)astAdmin是一款基于ThinkPHP和Bootstrap的極速后臺(tái)開(kāi)發(fā)框架，若網(wǎng)站開(kāi)放會(huì)員中心，攻擊者登錄會(huì)員中心后，可通過(guò)該漏洞GetShell。

華為云提醒使用FastAdmin的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://github.com/karsonzhang/fastadmin/issues/73?spm=a2c4g.11174386.n2.3.428c1051tmy0pT

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

全版本

四、漏洞處置

目前官方暫未發(fā)布安全版本或補(bǔ)丁修復(fù)該漏洞，受影響的用戶參考以下方法來(lái)臨時(shí)規(guī)避風(fēng)險(xiǎn)：

1、關(guān)閉站點(diǎn)會(huì)員中心功能，在/application/config.php文件中，設(shè)置'usercenter' => false

2、暫時(shí)關(guān)閉文件上傳功能

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。