[更新] 安全警报:宝塔面板附带的WAF防火墙存在SQL注入漏洞请加强防御 – 蓝点网
发布时间:2025-04-06 03:19:20 作者:玩站小弟 
我要评论
我要评论2024年2月17日15:13发布更新:宝塔回应称该漏洞去年就已经修复,同时该漏洞仅可以查询数据、无法造成其他威胁。另外宝塔WAF防火墙与宝塔面板是两个产品,蓝点网在本文中已经强调是WAF防火墙,不是
。
2024年2月17日15:13发布更新:宝塔回应称该漏洞去年就已经修复,更新同时该漏洞仅可以查询数据、安全无法造成其他威胁。警报加强另外宝塔WAF防火墙与宝塔面板是宝塔两个产品,蓝点网在本文中已经强调是面板WAF防火墙,不是附带防火防御宝塔面板。
据 V2EX 网友发布的洞请帖子,在春节期间他在研究宝塔面板的墙存漏洞时,发现宝塔面板附带的入漏 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。
宝塔面板的蓝点 WAF 本身是一款收费产品,购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的更新,但没想到这个模块本身也存在 SQL 注入漏洞。安全
漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中,构造满足特定条件的宝塔 IP 地址和域名的情况下,不需要进行任何验证即可访问宝塔面板 API。面板
而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来满足上面要求的条件。
目前该网友已经将漏洞通报给宝塔官方,不过比较迷惑的是现在不清楚漏洞是否已经修复,但漏洞细节已经公布了,因此各位宝塔用户要加强防御,避免泄露自己的服务器地址。
另外对于该问题宝塔面板官方也没有进行任何回应,不知道是准备不回应了直接悄悄发个热补丁进行修复还是准备怎么做。
注:请不要进行漏洞未修复就公布细节的行为,否则很容易踩缝纫机。
相关文章
咱们每一每一说的一句话便是病从口入,简直也是。良多疾病便是这样的,咱们艰深饮食的不留意,以是咱们不能老在概况用饭,可能自己做饭哦,下面小编就介绍xo酱煎三文鱼如今良多人都不会做饭了,事实餐饮业的颇为发2025-04-06
对于妄想睁开2023年济宁市财富技师学院济宁市兖州区职业中等业余学校)教师职业能耐大赛的见告教学赛设9个种别:一)公共课与通用职业本性类;二)机械类;三)电工电子类;四)信息类;五)交通类;六)效率类2025-04-06
家喻户晓,作为外洋争先PC厂商的长城电脑旗下产物浩荡,如万能条记本长城T64电脑英文中文转换、时尚节能的PIO系列DIY一体机、多点触控功能的大屏幕一体机电脑高温奈何样处置措施、超持重长效待机的长城A2025-04-06
电脑开不了机奈何样办简略措施台式电脑键盘手指位置图电脑ip地址奈何样查
纳文·查德哈:我记适量你们踏上这临时,我刚巧在微软任职,当时他们笼络了我作为独创企业家的第一家公司,该公司自动于研发互联网视频流手艺电脑开不了机奈何样办简朴措施台式纳文·查德哈:我记适量2025-04-06- 大部份疾病都与咱们的饮食非亲非故,所以为了瘦弱,咱们务必看重饮食这一方面。为了瘦弱,不要再每一每一外出用饭。咱们启动学着自己做饭吧,做菜不那末难题,小编先给巨匠介绍玉米洋葱煎蛋烧。明天的介绍您学会了吗2025-04-06
为贯彻党的二十大肉体,落实“为党育人电脑产物图,为国育才”的教育目的,本学期电脑版的微信小法式,福州市郭宅中间小学举行了以“献礼二十大 科技向未来”为主题的片区电脑绘画以及创意编程角逐为贯彻党的二十大2025-04-06
最新评论