关键漏洞信息 产品信息 - 产品名称:FunAdmin - PHP 版本:8.2.9 - FunAdmin 版本:v7.1.0-rc4 - 产品链接:https://gitee.com/funadmin/funadmin 漏洞类型 - 不安全反序列化漏洞导致任意文件写入 漏洞细节 - 在 的 函数中,直接反序列化了用户控制的 cookie 中 字段的值(默认为 )。 - 反序列化不受信任的数据是高度危险的,可能导致严重的安全后果。 受影响的后端接口 利用方式 - 攻击者可以构造恶意的序列化负载,利用 PHP 对象注入(POP 链)实现任意文件写入,FunAdmin 依赖 League 库。 恶意文件路径 - 环境信息 - PHP 版本:8.2.9 - 操作系统:Windows 10 - 编译器:Visual C++ 2019 ``` 这些关键信息帮助理解和分析这个不安全反序列化漏洞对 FunAdmin 系统构成的安全威胁。