漏洞关键信息 漏洞名称: FunAdmin Vulnerability -3 产品: FunAdmin (https://gitee.com/funadmin/funadmin) PHP版本: 8.2.9 FunAdmin版本: v7.1.0-rc4 漏洞类型: 未经授权配置修改 漏洞描述: - 文件位置: app/backend/controller/Ajax.php - 影响函数: setConfig() - 问题: 由于缺少适当的认证和权限检查,攻击者可以直接访问此函数,无需登录即可修改系统配置设置,存在严重安全风险。 相关代码: 漏洞演示: - 请求示例: - 响应: 操作成功 系统截图: 显示了利用该漏洞成功修改配置后的系统状态,底部展示了新的配置值"123456"。 ``` 这个Markdown简洁地总结了漏洞的基本信息、影响范围和利用方式,同时也包括了代码片段和操作示例,有助于理解漏洞的性质和风险。