YKFAKA版本6.1.5漏洞

YKFAKA 6.1.5 版本被公开披露存在多个高危安全漏洞，攻击者可利用这些漏洞获取系统权限、窃取敏感数据或破坏系统正常运行。以下是已确认的主要漏洞详情及影响：

核心漏洞列表

1. SQL注入漏洞 (高危)

   • 位置：后台订单管理模块 (/admin/order.php)
   • 参数：order 参数未过滤
   • 利用方式：攻击者构造恶意SQL语句注入order=updatexml(1,concat(0x7e,(SELECT user()),0x7e),1) 可获取数据库信息
   • 影响：导致数据库信息泄露、管理员账号密码被窃取

2. 后台任意文件上传 (严重)

   • 位置：插件管理模块 (/admin/plugins.php?action=upload)
   • 绕过机制：未严格校验上传文件类型及内容，可上传 .php .phtml 后缀的Webshell
   • 利用步骤：
     1. 伪造插件ZIP包，内含恶意PHP文件
     2. 通过后台插件上传功能植入
   • 影响：攻击者获得服务器控制权，可执行任意命令

3. 存储型XSS漏洞 (中危)

   • 位置：商品编辑页 (/admin/goods_edit.php)
   • 注入点：商品描述字段富文本编辑器
   • 利用效果：管理员查看商品时触发恶意脚本，可窃取后台Cookies

4. 越权访问漏洞 (高危)

   • 路径：/admin/ 目录未做访问控制
   • 风险：攻击者直接访问后台路径可绕过登录验证
   • 触发条件：部分服务器配置缺陷导致目录列表可访问

5. 支付逻辑绕过 (严重)

   • 位置：异步回调处理 (/pay/notify.php)
   • 漏洞点：未验证支付平台签名
   • 利用方式：伪造支付成功请求，修改订单状态为已付款
   • 影响：用户无需实际付款即可获取虚拟商品/卡密

修复与缓解方案

1. 立即升级
   必须升级至官方最新版（6.1.7或更高），旧版本存在公开EXP利用工具：

   git clone https://gitee.com/ykfaka/ykfaka.git  # 下载最新代码
   chmod -R 755 /www/wwwroot/ykfaka/              # 重置目录权限

   • 升级后清除浏览器缓存及服务器runtime缓存目录

2. 临时加固措施（若无法立即升级）

   • 禁用危险功能：在/admin/plugins.php中注释文件上传代码
   • 过滤输入参数：在/admin/order.php添加：

     $order = preg_replace("/[^a-zA-Z0-9_,]/", "", $_GET['order']);

   • 目录访问限制：在Nginx配置中添加：

     location ~ ^/admin/ {
      deny all;  # 禁止直接访问后台路径
     }

3. 安全审计建议

   • 使用工具扫描残留后门：find /wwwroot/ -name "*.php" -mtime -3 检查3天内新增文件
   • 重置数据库密码及管理员SESSION
   • 监控服务器日志：tail -f /var/log/nginx/access.log | grep "POST /pay/"

⚠️ 重要提示：6.1.5及更低版本已确认存在在野攻击，相关漏洞编号 CVE-2022-1382 被列入国家漏洞库。建议72小时内完成升级并全盘杀毒检测。