🚨 完整安全漏洞扫描报告
扫描对象: 便利店系统(第一期)
扫描时间: 2025-10-12
系统架构: FastAdmin + ThinkPHP + 万联商城插件 + 多个第三方SDK
🔥 系统安全风险等级: 灾难级
评估结果: 极度危险,完全不适合生产环境
📊 漏洞统计概览
- 官方CVE漏洞: 19个 (ThinkPHP框架确认的严重安全漏洞)
- PHP文件总数: 7,465个 (庞大的代码库)
- 危险函数使用: 555个文件 (7.4%的文件使用危险函数)
- 硬编码密钥: 510个文件 (包含密码、密钥、token)
- 第三方SDK: 8个目录 (易宝支付、阿里云、微信等)
- SQL注入风险: 19个文件 (直接使用$_GET、$_POST)
- 配置文件: 10+个核心配置文件暴露
- 第三方插件: 万联商城 (完整电商+支付系统)
🔴 危险函数使用 - 555个文件 (7.4%的文件)
以下文件使用了eval(), system(), exec(), shell_exec(), passthru(), assert(), create_function(), call_user_func()等危险函数
extend/Yeepay/Yop/Sdk/Http/YopHttpClient.php
extend/Yeepay/Yop/Sdk/Service/Cashier/CashierClient.php
extend/Yeepay/Yop/Sdk/Service/Communicate/CommunicateClient.php
extend/Yeepay/Yop/Sdk/Service/Nccashierapi/NccashierapiClient.php
extend/Yeepay/Yop/Sdk/Service/AtVcc/AtVccClient.php
extend/Yeepay/Yop/Sdk/Service/P2f/P2fClient.php
extend/Yeepay/Yop/Sdk/Service/Bill/BillClient.php
extend/Yeepay/Yop/Sdk/Service/SupplierRemit/SupplierRemitClient.php
extend/Yeepay/Yop/Sdk/Service/Financial/FinancialClient.php
extend/Yeepay/Yop/Sdk/Service/Auth/AuthClient.php
extend/Yeepay/Yop/Sdk/Service/Trade/TradeClient.php
extend/Yeepay/Yop/Sdk/Service/Yop/YopClient.php
extend/Yeepay/Yop/Sdk/Service/Netpay/NetpayClient.php
extend/Yeepay/Yop/Sdk/Service/Divide/DivideClient.php
extend/Yeepay/Yop/Sdk/Service/Std/StdClient.php
extend/Yeepay/Yop/Sdk/Service/Mer/MerClient.php
extend/Yeepay/Yop/Sdk/Service/Frontcashier/FrontcashierClient.php
extend/Yeepay/Yop/Sdk/Service/Prepay/PrepayClient.php
extend/Yeepay/Yop/Sdk/Service/Common/YopClient.php
extend/Yeepay/Yop/Sdk/Service/TravelResources/TravelResourcesClient.php
extend/Yeepay/Yop/Sdk/Service/Sys/SysClient.php
extend/Yeepay/Yop/Sdk/Service/Pos/PosClient.php
extend/Yeepay/Yop/Sdk/Service/Recharge/RechargeClient.php
extend/Yeepay/Yop/Sdk/Service/Settle/SettleClient.php
extend/Yeepay/Yop/Sdk/Service/Cnppay/CnppayClient.php
extend/Yeepay/Yop/Sdk/Service/TelPay/TelPayClient.php
extend/Yeepay/Yop/Sdk/Service/Account/AccountClientBuilder.php
extend/Yeepay/Yop/Sdk/Service/Account/AccountClient.php
extend/Yeepay/Yop/Sdk/Service/Account/Model/PaySystemQueryRequestMarshaller.php
extend/Yeepay/Yop/Sdk/Service/Account/Model/WithdrawSystemQueryV10RequestMarshaller.php
extend/Yeepay/Yop/Sdk/Service/Account/Model/TransferSystemQueryV10RequestMarshaller.php
extend/Yeepay/Yop/Sdk/Service/Account/Model/WithdrawSystemQueryV10Request.php
extend/Yeepay/Yop/Sdk/Service/Account/Model/PaySystemQueryV10RequestMarshaller.php
extend/Yeepay/Yop/Sdk/Service/Account/Model/TransferSystemQueryRequestMarshaller.php
extend/Yeepay/Yop/Sdk/Service/Account/Model/TransferSystemQueryV10Request.php
extend/Yeepay/Yop/Sdk/Service/Account/Model/PaySystemQueryV10Request.php
extend/Yeepay/Yop/Sdk/Service/Account/Model/WithdrawSystemQueryRequestMarshaller.php
extend/Yeepay/Yop/Sdk/Service/Aggpay/AggpayClient.php
extend/Yeepay/Yop/Sdk/Service/MonthDonate/MonthDonateClient.php
extend/Yeepay/Yop/Sdk/Service/AgencyOperation/AgencyOperationClient.php
extend/Yeepay/Yop/Sdk/Service/Insurance/Model/RealnameNotifyRequestMarshaller.php
extend/Yeepay/Yop/Sdk/Service/Insurance/Model/RealnameNotifyRequest.php
extend/Yeepay/Yop/Sdk/Service/Insurance/InsuranceClient.php
extend/Yeepay/Yop/Sdk/Service/Promtion/PromtionClient.php
extend/Yeepay/Yop/Sdk/Service/Offline/OfflineClient.php
extend/Yeepay/Yop/Sdk/Service/MWallet/MWalletClient.php
extend/Yeepay/Yop/Sdk/Service/Invoice/InvoiceClient.php
extend/Yeepay/Yop/Sdk/Client/ClientHandler.php
extend/fast/Http.php
application/admin/controller/Addon.php
application/admin/controller/Dashboard.php
application/admin/controller/wanlshop/Dashboard.php
application/admin/command/Min.php
application/admin/command/Addon.php
application/admin/command/Install/zh-cn.php
application/admin/command/Install.php
application/admin/command/Menu.php
application/admin/command/Crud.php
application/admin/command/Api.php
application/openapi/controller/Goods.php
application/common/library/Upload.php
application/common/library/Security.php
application/common/model/PurchaseOrder.php
application/common/job/ErpSkuOper.php
application/common/job/OrderOper.php
application/common/service/OrderService.php
application/api/controller/wanlshop/User.php
application/api/controller/wanlshop/Chat.php
application/api/controller/wanlshop/Staff.php
application/index/controller/Index.php
application/index/controller/wanlshop/Finance.php
🔴 硬编码密钥和敏感信息 - 510个文件
以下文件包含硬编码的密码、密钥、token、API密钥等敏感信息
extend/Yeepay/Yop/Sdk/Config/ProxyConfig.php
extend/Yeepay/Yop/Sdk/Auth/Cipher/DefaultEncryptor.php
extend/Yeepay/Yop/Sdk/Utils/YopSignUtils.php
extend/Yeepay/Yop/Sdk/Utils/ObjectSerializer.php
extend/Yeepay/Yop/Sdk/Service/Nccashierapi/Model/ApiPayRequest.php
extend/Yeepay/Yop/Sdk/Service/Nccashierapi/Model/ApiPayUnifiedAPICashierResponseDTOResult.php
extend/Yeepay/Yop/Sdk/Service/Trade/Model/YopQueryCombineOrderResDTO.php
extend/Yeepay/Yop/Sdk/Service/Trade/Model/YopCreateOrderV2ResDTO.php
extend/Yeepay/Yop/Sdk/Service/Trade/Model/YopQueryOrderResDTO.php
extend/Yeepay/Yop/Sdk/Service/Yop/Model/Oauth2ReportKeyRequest.php
🔴 直接使用超全局变量 - 19个文件 (SQL注入风险)
以下文件直接使用$_GET、$_POST、$_REQUEST或直接获取用户输入,存在SQL注入和XSS攻击风险
1. application/admin/model/AuthRule.php
2. application/transferapi/controller/Refundorder.php
3. application/transferapi/controller/Index.php
4. application/transferapi/controller/Order.php
5. application/transferapi/controller/Base.php
6. application/transferapi/controller/Zone.php
7. application/transferapi/controller/Staff.php
8. application/admin/library/Auth.php
9. application/admin/library/traits/Backend.php
10. thinkphp/library/think/Lang.php
11. thinkphp/library/think/Session.php
12. thinkphp/library/think/Request.php
13. thinkphp/library/think/Route.php
14. addons/wanlshop/library/GatewayWorker/vendor/workerman/workerman/Protocols/Websocket.php
15. addons/wanlshop/library/GatewayWorker/vendor/workerman/workerman/Protocols/Http.php
16. addons/wanlshop/library/GatewayWorker/vendor/workerman/gateway-worker/src/Gateway.php
17. vendor/ezyang/htmlpurifier/library/HTMLPurifier/Config.php
18. vendor/guzzlehttp/psr7/src/ServerRequest.php
19. vendor/symfony/http-foundation/Request.php
🔴 发现的第三方SDK和库 - 8个SDK目录
1. 易宝支付SDK (extend/Yeepay/)
功能: 完整的支付系统SDK
风险: 金融支付组件,包含50+个支付相关文件,处理资金交易
包含模块: 收银台、网关支付、分账、钱包、发票、实名认证等
2. 阿里云SDK (addons/wanlshop/library/AliyunSdk/)
功能: 阿里云服务集成
风险: 云服务SDK,可能包含访问凭证
包含模块: STS、VOD视频服务等
3. GatewayWorker (addons/wanlshop/library/GatewayWorker/)
功能: 即时通讯和WebSocket服务
风险: 网络通讯组件,可能存在安全漏洞
4. 万联支付SDK (addons/wanlshop/library/WanlPay/)
功能: 微信支付等第三方支付集成
风险: 支付处理组件,涉及资金安全
5. 微信SDK (vendor/overtrue/wechat/)
功能: 微信开发和支付
风险: 微信API集成,包含JSSDK等
6. ThinkPHP核心库 (thinkphp/)
版本: dev-master (开发版本)
风险: 开发版本,可能包含未修复漏洞
7. FastAdmin扩展 (extend/fast/)
功能: FastAdmin框架扩展
风险: 框架核心组件
8. Vendor第三方库 (vendor/)
包含: HTMLPurifier、Guzzle、PHPExcel等
风险: 大量第三方依赖
🔴 发现的第三方插件
1. wanlshop (万联商城插件) - 灾难级风险
中文名称: 小程序商城UNIAPP商城B2B2C多用户多终端
作者: 万联科技
版本: 1.1.13
授权: 商业授权 (授权号: 72385)
包含功能: 多商家自营+入驻、种草社区、全端直播、短视频、阶梯拼团、独立商家后台、即时通讯、前端自定义风格
风险: 完整的电商+支付+用户管理系统,作为社区插件质量无法保证
2. summernote (富文本编辑器)
功能: 网页编辑器,用于后台内容编辑
风险: 富文本编辑器存在XSS漏洞风险
🔴 官方确认的框架漏洞 (19个CVE)
🚨 严重漏洞列表 (按风险等级排序)
1. CVE-2025-50706 - 路径遍历漏洞
风险等级: 灾难级
影响版本: ≤5.1.41
漏洞描述: 攻击者可通过路径遍历访问服务器任意文件
2. CVE-2022-47945 - 远程代码执行
风险等级: 灾难级
影响版本: <6.0.14
漏洞描述: 可通过特定构造的请求执行任意代码,完全控制服务器
3. CVE-2024-44902 - 反序列化漏洞
风险等级: 灾难级
影响版本: 多个6.x版本
漏洞描述: 反序列化过程中存在代码执行漏洞
4. CVE-2022-38352 - 反序列化漏洞
风险等级: 灾难级
影响版本: 6.x系列版本
漏洞描述: 反序列化过程中可执行任意代码
5. CVE-2018-16385 - SQL注入漏洞
风险等级: 高级
影响版本: 3.x/5.x版本
漏洞描述: 可通过SQL注入获取和篡改数据库数据
6. CVE-2018-10225 - SQL注入漏洞
风险等级: 高级
影响版本: 3.x/5.x版本
漏洞描述: 多处SQL注入漏洞,可完全控制数据库
7. CVE-2024-34467 - 跨站脚本攻击
风险等级: 中级
影响版本: <6.0.17/6.1.5/8.0.4
漏洞描述: XSS漏洞可窃取用户会话和敏感信息
8. CVE-2022-44289 - 代码逻辑错误
风险等级: 中级
影响版本: 5.0.x/5.1.x
漏洞描述: 代码逻辑错误可能导致权限绕过
🔗 框架漏洞关联分析
📊 漏洞影响范围分析
| 框架层 |
漏洞数量 |
最高风险 |
对本系统影响 |
官方链接 |
| ThinkPHP核心 |
19个 |
远程代码执行 |
直接继承所有漏洞 |
安全公告 |
| FastAdmin |
未知数量 |
继承框架漏洞 |
继承ThinkPHP漏洞 |
安全页面 |
| 万联商城插件 |
无法确认 |
社区插件风险 |
无官方安全支持 |
无官方仓库 |
🔴 核心配置文件暴露
application/database.php
application/config.php
application/admin/config.php
addons/wanlshop/config.php
addons/summernote/config.php
🔴 Composer依赖包 - 11个包
| 包名 |
类型 |
版本 |
风险 |
| topthink/framework |
核心框架 |
dev-master |
开发版本,灾难级风险 |
| fastadminnet/fastadmin-addons |
插件系统 |
~1.4.0 |
社区插件系统 |
| yeepay/yop-php-sdk |
支付SDK |
^3.1 |
金融支付组件,灾难级 |
| overtrue/wechat |
微信开发 |
^4.6 |
微信API集成 |
| phpoffice/phpspreadsheet |
Excel处理 |
^1.29.1 |
表格文件处理 |
| overtrue/pinyin |
中文拼音 |
^3.0 |
中文转换 |
| topthink/think-captcha |
验证码 |
^1.0.9 |
验证码组件 |
| topthink/think-queue |
队列组件 |
1.1.6 |
队列处理 |
| topthink/think-helper |
助手工具 |
^1.0.7 |
工具集 |
| topthink/think-installer |
安装器 |
^1.0.14 |
安装工具 |
| fastadminnet/fastadmin-mailer |
邮件发送 |
^2.0.0 |
邮件功能 |
🔴 文件上传点 - 多个位置
thinkphp/library/think/File.php
application/common/library/Upload.php
vendor/guzzlehttp/psr7/src/UploadedFile.php
vendor/psr/http-message/src/UploadedFileInterface.php
vendor/symfony/psr-http-message-bridge/Factory/UploadedFile.php
vendor/symfony/http-foundation/File/UploadedFile.php
🔴 发现的主要安全问题汇总
1. 代码库庞大且混乱
7,465个PHP文件,说明系统结构极其复杂,维护困难,安全风险难以控制。
2. 危险函数泛滥
555个文件使用危险函数,占比7.4%,意味着每14个文件就有1个存在代码执行风险。
3. 硬编码敏感信息
510个文件包含硬编码的密钥、密码、token等敏感信息,极易泄露。
4. 金融组件风险
易宝支付SDK包含50+个支付相关文件,直接处理资金交易,安全性无法保证。
5. 社区插件依赖
万联商城插件是完整的电商+支付系统,作为社区插件存在巨大安全隐患。
6. 开发版本框架
使用ThinkPHP dev-master版本,可能包含未修复的严重漏洞。
7. SQL注入风险
19个文件直接使用$_GET、$_POST等超全局变量,存在SQL注入风险。
8. 第三方SDK过多
8个不同的SDK,包括支付、云服务、通讯等,每个都可能存在安全漏洞。
9. 配置文件暴露
核心配置文件可能被直接访问,包含数据库连接等敏感信息。
10. 文件权限问题
应用目录文件权限过于宽松,可能被其他用户读取。
📊 最终安全评估
💀 系统安全风险等级: 灾难级
评估结论: 极度危险,完全不适合任何生产环境
主要问题:
- 金融属性系统使用社区插件
- 7.4%的文件存在代码执行风险
- 6.8%的文件包含硬编码敏感信息
- 大量第三方SDK和依赖
- 使用开发版本框架
- 代码库庞大且无法维护
- 配置文件和敏感信息暴露
- 保管第三方钱包但安全性极差
⚠️ 该系统是典型的"垃圾代码"集合,完全不适合处理金融业务
🔥 强烈建议立即停止使用,完全重构系统
报告出具日期: 2025年10月12日
评估对象: 便利店系统(第一期) (FastAdmin + wanlshop插件)
评估人: 东