2024年2月17日15:13發布更新：寶塔回應稱該漏洞去年就已經修復，更新同時該漏洞僅可以查詢數據、安全無法造成其他威脅。警報加強武漢武昌高級外圍上門資源vx《189-4143》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達另外寶塔WAF防火墻與寶塔面板是寶塔兩個產品，藍點網在本文中已經強調是面板WAF防火墻，不是附帶防火防御寶塔面板。

據 V2EX 網友發布的洞請帖子，在春節期間他在研究寶塔面板的墻存漏洞時，發現寶塔面板附帶的入漏 WAF 防火墻 (寶塔 Nginx 防火墻) 存在 SQL 注入漏洞。

寶塔面板的藍點武漢武昌高級外圍上門資源vx《189-4143》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達 WAF 本身是一款收費產品，購買并開通后可以用來攔截 CC 攻擊或者 SQL 注入之類的更新，但沒想到這個模塊本身也存在 SQL 注入漏洞。安全

漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中，構造滿足特定條件的寶塔 IP 地址和域名的情況下，不需要進行任何驗證即可訪問寶塔面板 API。面板

而且還可以他通過將 x-forwarded-for header 設置為 127.0.0.1、域名設置為 127.0.0.251 來滿足上面要求的條件。

目前該網友已經將漏洞通報給寶塔官方，不過比較迷惑的是現在不清楚漏洞是否已經修復，但漏洞細節已經公布了，因此各位寶塔用戶要加強防御，避免泄露自己的服務器地址。

另外對于該問題寶塔面板官方也沒有進行任何回應，不知道是準備不回應了直接悄悄發個熱補丁進行修復還是準備怎么做。

注：請不要進行漏洞未修復就公布細節的行為，否則很容易踩縫紉機。

• ·《塞爾達傳說：荒野之息》年度最佳游戲獎排名第一
• ·工做室啟閉以后《坎巴推太空挨算2》遭受好評轟炸
• ·驅逐天下終日 《我借活著》游仄易遠星空專區上線
• ·沉松戚閑又利降 20款細品仄板游戲保舉
• ·虛幻5懸疑冒險游戲《無人愿死》開場45分鐘實機演示公布
• ·2021年3月份旅游業會規復嗎
• ·五一出游AI陪隨 文心一止APP旅游智能體用戶尾日暴刪12倍
• ·《好男,目沒有暇接》steam頁里上線 5月15日出售
• ·《絕地求生》Xbox One版最新更新 加入小隊模式
• ·值得慶賀 《哥譚市：魚目混珠》變身免費游戲
• ·人類必須逝世 動做游戲新做《獸人打擊（Orc Attack）》公布
• ·喬納森·諾蘭：有機遇必然會再拍蝙蝠俠暗中騎士電影
• ·《勇者斗惡龍 VR》預告視頻公布 4月27日發售
• ·游仄易遠批評：PC玩家戰育碧 到底誰對沒有起誰？
• ·2021姑蘇三八婦女節特惠景區有哪些 姑蘇三八節門票免費景區匯總
• ·您是沒有是為忠薄粉絲？盤面各式創意游戲主題婚禮