[更新] 安全警報:寶塔面板附帶的WAF防火墻存在SQL注入漏洞請加強防御 – 藍點網
我要評論2024年2月17日15:13發布更新:寶塔回應稱該漏洞去年就已經修復,更新同時該漏洞僅可以查詢數據、安全無法造成其他威脅。警報加強大連西崗高端外圍女vx《1662+044+1662》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達另外寶塔WAF防火墻與寶塔面板是寶塔兩個產品,藍點網在本文中已經強調是面板WAF防火墻,不是附帶防火防御寶塔面板。
據 V2EX 網友發布的洞請帖子,在春節期間他在研究寶塔面板的墻存漏洞時,發現寶塔面板附帶的入漏 WAF 防火墻 (寶塔 Nginx 防火墻) 存在 SQL 注入漏洞。
寶塔面板的藍點大連西崗高端外圍女vx《1662+044+1662》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達 WAF 本身是一款收費產品,購買并開通后可以用來攔截 CC 攻擊或者 SQL 注入之類的更新,但沒想到這個模塊本身也存在 SQL 注入漏洞。安全
漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中,構造滿足特定條件的寶塔 IP 地址和域名的情況下,不需要進行任何驗證即可訪問寶塔面板 API。面板
而且還可以他通過將 x-forwarded-for header 設置為 127.0.0.1、域名設置為 127.0.0.251 來滿足上面要求的條件。
目前該網友已經將漏洞通報給寶塔官方,不過比較迷惑的是現在不清楚漏洞是否已經修復,但漏洞細節已經公布了,因此各位寶塔用戶要加強防御,避免泄露自己的服務器地址。
另外對于該問題寶塔面板官方也沒有進行任何回應,不知道是準備不回應了直接悄悄發個熱補丁進行修復還是準備怎么做。
注:請不要進行漏洞未修復就公布細節的行為,否則很容易踩縫紉機。
相關文章
《精靈寶可夢Lets Go》最新內容預覽 switch平臺獨占
精靈寶可夢Let's Go是系列最新作品,也是switch平臺獨占的游戲,這款游戲最近也曝光了很多相關情報,玩家可以從精靈寶可夢GO導入精靈,也是給玩家們創造了非常大的福利,下面游戲最新消息內2025-11-27
世嘉對《索僧克:邊疆》抱有非常下的等候,果為該公司但愿那款游戲能夠或許獲得批評家的啟認。正在比去與投資者的問問環節,世嘉 CEO 里睹治紀戰 CFO 深澤擺一被問及《索僧克:邊疆》的量量目標戰潛伏的批2025-11-27
《九州天空鄉3D》新質料片“萬法靈瓏”本日上線。齊新職業“靈瓏”正式表態九州天下,以燈把握上古秘法的團隊魁尾級職業,超強的團隊刪益結果讓您的步隊所背披靡。【萬法靈瓏 新職業“靈瓏”參上】齊新職業“靈瓏2025-11-27
5月18日早,小米公布了2022年Q1季度財報,隱現小米足機ASP均價同比刪減 14.1%,達到人仄易遠幣1189元,對小米足機愈去愈貴的環境,總裁王翔正在德律風集會上表示小米會正在足機中插足更多下端2025-11-27
綠色地獄是一款自由度非常高的沙盒游戲,可能很多小伙伴也是非常想要了解,游戲中需要通過利用環境完成生存任務,當然也會隨時遇到危險,這款新作預計在今年夏季開啟搶先體驗,有興趣的話可以關注一下。2025-11-27
再現典范必殺絕技 《隊少小翼:最強十一人》11月29日水爆開測
再現典范必殺絕技,《隊少小翼:最強十一人》11月29日水爆開測。《隊少小翼:最強十一人》是一款由同名漫繪改編的足機網游,將于11月29日開啟安卓仄臺沒有刪檔測試。此次開測將有海量新弄法去襲,帶您重溫芳2025-11-27