2020年9月22日，阿里云应急响应中心监测到FastAdmin爆发远程代码执行0day漏洞，黑客登录前台会员中心，即可远程GetShell，风险极大。

漏洞描述

FastAdmin是一款基于ThinkPHP和Bootstrap的后台开发框架、开放会员中心的站点，上传特定文件可直接GetShell。阿里云应急响应中心提醒FastAdmin用户尽快采取安全措施阻止漏洞攻击。

影响版本

全版本（截止2020年9月22日官方暂未发布安全补丁或修复版本）

漏洞评级

严重

安全建议

1、关闭站点会员中心功能，在/application/config.php文件中，设置'usercenter' => false

2、暂时关闭文件上传功能

相关链接

https://github.com/karsonzhang/fastadmin/issues/73

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单联系反馈。

阿里云应急响应中心

2020.9.22