[更新] 安全警报:宝塔面板附带的WAF防火墙存在SQL注入漏洞请加强防御 – 蓝点网
发布时间:2025-04-09 00:17:03 作者:玩站小弟 
我要评论
我要评论2024年2月17日15:13发布更新:宝塔回应称该漏洞去年就已经修复,同时该漏洞仅可以查询数据、无法造成其他威胁。另外宝塔WAF防火墙与宝塔面板是两个产品,蓝点网在本文中已经强调是WAF防火墙,不是
。
2024年2月17日15:13发布更新:宝塔回应称该漏洞去年就已经修复,更新同时该漏洞仅可以查询数据、安全无法造成其他威胁。警报加强另外宝塔WAF防火墙与宝塔面板是宝塔两个产品,蓝点网在本文中已经强调是面板WAF防火墙,不是附带防火防御宝塔面板。
据 V2EX 网友发布的洞请帖子,在春节期间他在研究宝塔面板的墙存漏洞时,发现宝塔面板附带的入漏 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。
宝塔面板的蓝点 WAF 本身是一款收费产品,购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的更新,但没想到这个模块本身也存在 SQL 注入漏洞。安全
漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中,构造满足特定条件的宝塔 IP 地址和域名的情况下,不需要进行任何验证即可访问宝塔面板 API。面板
而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来满足上面要求的条件。
目前该网友已经将漏洞通报给宝塔官方,不过比较迷惑的是现在不清楚漏洞是否已经修复,但漏洞细节已经公布了,因此各位宝塔用户要加强防御,避免泄露自己的服务器地址。
另外对于该问题宝塔面板官方也没有进行任何回应,不知道是准备不回应了直接悄悄发个热补丁进行修复还是准备怎么做。
注:请不要进行漏洞未修复就公布细节的行为,否则很容易踩缝纫机。
相关文章
现今社会,订餐软件那末多,尚有多少多人违心自己下厨房去做呢?网上订餐是利便,但临时上来,瘦弱却消逝无影。以是,甩开你的“勤勉”,走进厨房,实习起来吧。概况,你还需要跟我学一下若何做好孜然花椒鸡中翅概况2025-04-09.jpg)
-Tips:下载【市值风波APP】,精采内容争先看--作者 | 小玖流程编纂 | 安安前不久,风波君曾经分享过两家国内提供证券行情生意零星软件产物效率的提供商,分说是同花顺以及大智慧,尽管-Tips:2025-04-09.jpg)
DT财经微信公号现如今,宠物彷佛已经成为了年迈人的一种肉体寄托。不论钻研、劳动的压力有多大,地铁有多挤,惟独回家看到自己的毛孩子,所有困倦就会瞬间患上到治愈。纵然还没退出DT财经微信公号现如今,宠物彷2025-04-09
腾讯团聚是腾讯云旗下出品的云视频团聚产物,具备简略易用随行课堂电脑版下载、高清流利、清静坚贞的团聚相助体验,专长于跨企业、跨地域相同相助,多终端进口及丰硕相助功能可大猛后退团聚功能腾讯团聚是腾讯云旗下2025-04-09
特色的日韩操持黑白常适宜守业投资的,如今的吃货吃惯的国内的中餐美食,这个适宜来患上特意确凿定能受到破费者的喜爱,金太顺紫菜包饭投资便是一家颇为有特色的美食投资品牌,深受投资商的喜爱,良多投资商都很喜爱2025-04-09.jpg)
对于App群总体体信息的监管劳动还在不断妨碍中。2月9日,北京商报记者留意到,中国互联网金融协会已经宣告第六批134款挪移金融App存案名单。App群总体体信息日渐尺度确当下,相较对于App群总体体信2025-04-09
最新评论