[更新] 安全警报:宝塔面板附带的WAF防火墙存在SQL注入漏洞请加强防御 – 蓝点网
发布时间:2026-06-07 22:28:32 作者:玩站小弟 
我要评论
我要评论2024年2月17日15:13发布更新:宝塔回应称该漏洞去年就已经修复,同时该漏洞仅可以查询数据、无法造成其他威胁。另外宝塔WAF防火墙与宝塔面板是两个产品,蓝点网在本文中已经强调是WAF防火墙,不是
。
2024年2月17日15:13发布更新:宝塔回应称该漏洞去年就已经修复,同时该漏洞仅可以查询数据、无法造成其他威胁。另外宝塔WAF防火墙与宝塔面板是两个产品,蓝点网在本文中已经强调是WAF防火墙,不是宝塔面板。
据 V2EX 网友发布的帖子,在春节期间他在研究宝塔面板的漏洞时,发现宝塔面板附带的 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。
宝塔面板的 WAF 本身是一款收费产品,购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的,但没想到这个模块本身也存在 SQL 注入漏洞。
漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中,构造满足特定条件的 IP 地址和域名的情况下,不需要进行任何验证即可访问宝塔面板 API。
而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来满足上面要求的条件。
目前该网友已经将漏洞通报给宝塔官方,不过比较迷惑的是现在不清楚漏洞是否已经修复,但漏洞细节已经公布了,因此各位宝塔用户要加强防御,避免泄露自己的服务器地址。
另外对于该问题宝塔面板官方也没有进行任何回应,不知道是准备不回应了直接悄悄发个热补丁进行修复还是准备怎么做。
注:请不要进行漏洞未修复就公布细节的行为,否则很容易踩缝纫机。
相关文章
使命召唤OL由暴雪开发腾讯独家代理,是一款大型射击类网游,现推出大型活动,堪称史上最豪华的年终盛典,豪华装备及会员领不停,下面就公布活动详细内容及领取地址,玩家们可以按照指示领取大礼包。年终盛典,预约2026-06-07
秋季没有雅赏白叶,正在海内便有很多值得一往的处所,江浙沪也有着毫没有输北京的多彩好景,上里小编便为大年夜家保举了很多江浙沪看白叶的好往背,感兴趣的朋友们快往挨卡玩耍吧!1、天仄山白枫天面:江苏姑苏天仄2026-06-07- 厦门2019年11月25日 /好通社/ -- 金鸡登“鹭”,百花齐放。11月19日,万众谛视标第28届金鸡百花电影节正式正在厦门国际会展中间B8B9馆推开序幕。此次嘉会没有但有成龙、刘德华、梁晨伟、周2026-06-07
- 成皆2019年11月22日 /好通社/ -- 由每日经济消息主理,慈文传媒、视觉中国500PX、腾讯短视频创做联盟协办的“影象天府 短视频创摄大年夜赛”正式开启总决选。颠终初赛创意足本遴选)战拍摄建制2026-06-07
暑假已往了,幼儿园开学了。早晨,小熊还在树洞里呼呼睡觉(sleep),小植物们都来找他去上幼儿园。“小熊,小熊,快起来!我们是大班的小朋友了,可不能迟到了!”小熊从树洞里出来一看,小马(colt)、小2026-06-07
秋季的成皆似诗似绘、意蕴绵少,正在成皆的秋季也躲着一些好景,上里小编便为大年夜家保举了很多好往背,正在那个少久又斑斓的秋季里,感兴趣的朋友们快往挨卡赏秋吧!1、杜甫草堂秋下气爽,丹桂飘喷鼻,鸿雁战燕子2026-06-07
最新评论