FastAdmin是一款基于ThinkPHP的開(kāi)源后臺(tái)管理框架，專為快速開(kāi)發(fā)設(shè)計(jì)。它結(jié)合了Bootstrap和AdminLTE技術(shù)，提供現(xiàn)代化的界面體驗(yàn)。作為一個(gè)輕量級(jí)且高效的框架，F(xiàn)astAdmin注重代碼的簡(jiǎn)潔性和易用性，幫助開(kāi)發(fā)者更專注于業(yè)務(wù)邏輯。其開(kāi)源特性允許自由獲取、使用和修改源代碼，非常適合需要快速搭建后臺(tái)管理系統(tǒng)的項(xiàng)目。同時(shí)，F(xiàn)astAdmin擁有一個(gè)活躍的社區(qū)，為開(kāi)發(fā)者提供強(qiáng)大的支持和豐富的資源。

國(guó)家信息安全漏洞共享平臺(tái)于2025-02-14公布該程序存在代碼注入漏洞。

漏洞編號(hào)：CNVD-2025-03743

影響產(chǎn)品：FastAdmin V1.5.2.20240906

漏洞級(jí)別：低

公布時(shí)間：2025-02-14

漏洞描述：攻擊者可利用該漏洞獲取用戶cookie等敏感信息，從而使用欺騙方式“合法”進(jìn)入網(wǎng)站后臺(tái)。

解決辦法：

目前廠商尚未發(fā)布修復(fù)補(bǔ)丁。可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的“SQL注入防護(hù)”模塊來(lái)解決該XSS跨站腳本攻擊漏洞，不止對(duì)該漏洞有效，對(duì)網(wǎng)站所有的SQL注入漏洞和XSS跨腳本漏洞都可以防護(hù)。

1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

『護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊（如圖一）除了攔截SQL注入攻擊，還可以攔截XSS跨站腳本攻擊（如圖二），一并解決FastAdmin的其他安全漏洞，攔截效果如圖三。

（圖一：FastAdmin防SQL注入模塊）

（圖二：FastAdmin防XSS跨站腳本攻擊）

（圖三：FastAdmin攔截SQL注入效果）

2、防篡改保護(hù)和后臺(tái)保護(hù)

如果對(duì)安全要求較高，還可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護(hù)”模塊，對(duì)FastAdmin做防篡改保護(hù)。

在“篡改防護(hù)-添加CMS防護(hù)”（如圖四）。選擇網(wǎng)站目錄，安全模板選擇“FastAdmin安全模板”，并填寫正確的后臺(tái)地址，點(diǎn)擊“確定”按鈕，就添加好了。

護(hù)衛(wèi)神.防入侵系統(tǒng)內(nèi)置有FastAdmin的篡改防護(hù)規(guī)則，只需簡(jiǎn)單設(shè)置即可解決，非常方便！

（圖四：添加FastAdmin防篡改規(guī)則）

設(shè)置好以后，防入侵系統(tǒng)就會(huì)對(duì)后臺(tái)進(jìn)行保護(hù)，后期訪問(wèn)時(shí)需要先驗(yàn)證授權(quán)密碼（如圖五）

（圖五：訪問(wèn)后臺(tái)需要輸入授權(quán)密碼）

只有輸入正確的密碼才能繼續(xù)訪問(wèn)（如圖六）

（圖六：FastAdmin后臺(tái)登錄）

【護(hù)衛(wèi)神.防入侵系統(tǒng)，擁有上百項(xiàng)安全防護(hù)模塊，點(diǎn)此查看演示】