[更新] 安全警报:宝塔面板附带的WAF防火墙存在SQL注入漏洞请加强防御 – 蓝点网
发布时间:2025-03-13 05:37:02 作者:玩站小弟 
我要评论
我要评论2024年2月17日15:13发布更新:宝塔回应称该漏洞去年就已经修复,同时该漏洞仅可以查询数据、无法造成其他威胁。另外宝塔WAF防火墙与宝塔面板是两个产品,蓝点网在本文中已经强调是WAF防火墙,不是
iphone8爆炸(iPhone8爆炸)。
2024年2月17日15:13发布更新:宝塔回应称该漏洞去年就已经修复,更新同时该漏洞仅可以查询数据、安全无法造成其他威胁。警报加强iphone8爆炸(iPhone8爆炸)另外宝塔WAF防火墙与宝塔面板是宝塔两个产品,蓝点网在本文中已经强调是面板WAF防火墙,不是附带防火防御宝塔面板。
据 V2EX 网友发布的洞请帖子,在春节期间他在研究宝塔面板的墙存漏洞时,发现宝塔面板附带的入漏 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。
宝塔面板的蓝点iphone8爆炸(iPhone8爆炸) WAF 本身是一款收费产品,购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的更新,但没想到这个模块本身也存在 SQL 注入漏洞。安全
漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中,构造满足特定条件的宝塔 IP 地址和域名的情况下,不需要进行任何验证即可访问宝塔面板 API。面板
而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来满足上面要求的条件。
目前该网友已经将漏洞通报给宝塔官方,不过比较迷惑的是现在不清楚漏洞是否已经修复,但漏洞细节已经公布了,因此各位宝塔用户要加强防御,避免泄露自己的服务器地址。
另外对于该问题宝塔面板官方也没有进行任何回应,不知道是准备不回应了直接悄悄发个热补丁进行修复还是准备怎么做。
注:请不要进行漏洞未修复就公布细节的行为,否则很容易踩缝纫机。
相关文章
2024年,煤化工龙头宝丰能源扣除非净利润67.8亿元,增长13.97%
3月12日,宝丰能源(600989).SH)发布2024年业绩报告。2024年营业收入329.83亿元,同比增长13.21%,母公司股东扣除非净利润67.8亿元,同比增长13.97%,经营现金流88.2025-03-13
最近艾森霍恩:异形审判官上架了,很多人对这款游戏非常关注,这里小编给大家带来了艾森霍恩:异形审判官游戏试玩视频,感兴趣的玩家不妨来看看吧。游戏截图欣赏:游戏有近战武器和远程武器,这张是近战的,被打和攻2025-03-13
逆战推车的新玩法估计还有很多玩家不熟悉。所以官方论坛推出了一个只要你玩就送的活动。来看看99单机小编熊卜卜的逆战推车新体验全新竞技等你来挑战活动地址送好礼哈。逆战最近更新了一个新的竞技,就是推车玩法。2025-03-13
DNF2016热辣桑巴套装开启售卖了。想要入手却不知道套装的属性加成。就来看看99单机小编熊卜卜的DNF2016热辣桑巴套装属性加成一览哈。点击查看:DNF2016热辣桑巴套装多少钱?装扮套装属性:力2025-03-13
服装店时尚图(服装店时尚图案设计)。资料来源:时尚服装网阅读:3300。店面门柱装饰效果图。门上挂着一个巨大的灯箱广告,展示了店内最新的时尚风格,吸引路过的顾客驻足观看。门柱上镶嵌着明亮的LED灯,夜2025-03-13
魔兽世界7.0我们不止有天赋加点。还有神器加点。在前期特质不够的情况下。如果发挥出自己职业强力的以免。神器天赋就尤为重要了。来看看99单机小编熊卜卜的魔兽世界7.0武僧T神器特质怎么加 酒仙武僧神器天2025-03-13
最新评论