10秒后自動(dòng)關(guān)閉
FastAdmin最新XSS漏洞(CNVD-2025-03743)

FastAdmin是一款基于ThinkPHP的開(kāi)源后臺(tái)管理框架,專為快速開(kāi)發(fā)設(shè)計(jì)。它結(jié)合了Bootstrap和AdminLTE技術(shù),提供現(xiàn)代化的界面體驗(yàn)。作為一個(gè)輕量級(jí)且高效的框架,F(xiàn)astAdmin注重代碼的簡(jiǎn)潔性和易用性,幫助開(kāi)發(fā)者更專注于業(yè)務(wù)邏輯。其開(kāi)源特性允許自由獲取、使用和修改源代碼,非常適合需要快速搭建后臺(tái)管理系統(tǒng)的項(xiàng)目。同時(shí),F(xiàn)astAdmin擁有一個(gè)活躍的社區(qū),為開(kāi)發(fā)者提供強(qiáng)大的支持和豐富的資源。


國(guó)家信息安全漏洞共享平臺(tái)于2025-02-14公布該程序存在代碼注入漏洞。

漏洞編號(hào):CNVD-2025-03743

影響產(chǎn)品:FastAdmin V1.5.2.20240906

漏洞級(jí)別

公布時(shí)間:2025-02-14

漏洞描述:攻擊者可利用該漏洞獲取用戶cookie等敏感信息,從而使用欺騙方式“合法”進(jìn)入網(wǎng)站后臺(tái)。


解決辦法:

目前廠商尚未發(fā)布修復(fù)補(bǔ)丁。可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的“SQL注入防護(hù)”模塊來(lái)解決該XSS跨站腳本攻擊漏洞,不止對(duì)該漏洞有效,對(duì)網(wǎng)站所有的SQL注入漏洞和XSS跨腳本漏洞都可以防護(hù)。



1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊(如圖一)除了攔截SQL注入攻擊,還可以攔截XSS跨站腳本攻擊(如圖二),一并解決FastAdmin的其他安全漏洞,攔截效果如圖三。


FastAdmin防SQL注入模塊

(圖一:FastAdminSQL注入模塊)



FastAdmin防XSS跨站腳本攻擊

(圖二:FastAdminXSS跨站腳本攻擊)



FastAdmin攔截SQL注入效果

(圖三:FastAdmin攔截SQL注入效果)



2、防篡改保護(hù)和后臺(tái)保護(hù)

如果對(duì)安全要求較高,還可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護(hù)”模塊,對(duì)FastAdmin做防篡改保護(hù)。

在“篡改防護(hù)-添加CMS防護(hù)”(如圖四)。選擇網(wǎng)站目錄,安全模板選擇“FastAdmin安全模板”,并填寫正確的后臺(tái)地址,點(diǎn)擊“確定”按鈕,就添加好了。

護(hù)衛(wèi)神.防入侵系統(tǒng)內(nèi)置有FastAdmin的篡改防護(hù)規(guī)則,只需簡(jiǎn)單設(shè)置即可解決,非常方便!

添加FastAdmin防篡改規(guī)則

(圖四:添加FastAdmin防篡改規(guī)則)



設(shè)置好以后,防入侵系統(tǒng)就會(huì)對(duì)后臺(tái)進(jìn)行保護(hù),后期訪問(wèn)時(shí)需要先驗(yàn)證授權(quán)密碼(如圖五)

網(wǎng)站后臺(tái)保護(hù)

(圖五:訪問(wèn)后臺(tái)需要輸入授權(quán)密碼)


只有輸入正確的密碼才能繼續(xù)訪問(wèn)(如圖六)

FastAdmin后臺(tái)登錄

(圖六:FastAdmin后臺(tái)登錄)



【護(hù)衛(wèi)神.防入侵系統(tǒng),擁有上百項(xiàng)安全防護(hù)模塊,點(diǎn)此查看演示】