Skip to content

v2.3.1 安全更新

BuildAdmin 于 2025/05/06 发布 v2.3.1 版本,其中包含重要的安全更新,后台 系统配置控制器 内意外的设置了 查看 方法为免登录,可能导致 配置信息泄露,建议你立即进行更新或手动修复。

受影响范围

  • BuildAdmin 版本 < 2.3.1 均受影响(版本号可于 config/buildadmin.php 文件底部查看)
  • 自定义了后台入口时,后台接口已无法直接访问,相对更加安全,但任然建议尽快更新修复
  • 后台 > 常规管理 > 系统配置 内有任何敏感信息,如密码秘钥,建议修复此问题后立即更换

手动修复方法

  1. 最主要的是于 /app/admin/controller/routine/Config.php 文件,搜索 noNeedLogin 属性,整个去除即可,请直接参考此提交进行修改:修复错误的无需登录/无需鉴权配置

  2. 建议你同时升级前端依赖 axios,以避免 CVE-2025-27152 (axios请求可能通过绝对URL遭受SSRF和凭证泄露漏洞)带来的影响,可参考 此提交 进行修改

使用 git 更新修复

我们更推荐您使用 git 更新系统,随时保持最新安全版本,可参考框架更新指南

安全提示

系统安全包含代码安全、服务器安全、配置安全(php.ini,目录权限...)等多方面,建议您部署站点时参考线上安全防范进行配置。