Appearance
v2.3.1 安全更新
BuildAdmin 于 2025/05/06 发布 v2.3.1 版本,其中包含重要的安全更新,后台 系统配置控制器
内意外的设置了 查看
方法为免登录,可能导致 配置信息泄露
,建议你立即进行更新或手动修复。
受影响范围
- BuildAdmin 版本 < 2.3.1 均受影响(版本号可于
config/buildadmin.php
文件底部查看) - 自定义了后台入口时,后台接口已无法直接访问,相对更加安全,但任然建议尽快更新修复
- 若
后台 > 常规管理 > 系统配置
内有任何敏感信息,如密码秘钥,建议修复此问题后立即更换
手动修复方法
最主要的是于
/app/admin/controller/routine/Config.php
文件,搜索noNeedLogin
属性,整个去除即可,请直接参考此提交进行修改:修复错误的无需登录/无需鉴权配置建议你同时升级前端依赖
axios
,以避免 CVE-2025-27152 (axios请求可能通过绝对URL遭受SSRF和凭证泄露漏洞)带来的影响,可参考 此提交 进行修改
使用 git 更新修复
我们更推荐您使用 git 更新系统,随时保持最新安全版本,可参考框架更新指南
安全提示
系统安全包含代码安全、服务器安全、配置安全(php.ini,目录权限...)等多方面,建议您部署站点时参考线上安全防范进行配置。