青龙面板多版本曝出鉴权绕过与远程代码执行漏洞
开源任务管理平台青龙面板(Qinglong)存在多项严重安全漏洞,涉及包括最新版 V2.20.1 在内的多个版本。由于 Express 框架路由匹配对大小写不敏感,且 URL 重写逻辑存在缺陷,攻击者可绕过 JWT 鉴权接口重置管理员密码。同时,依赖管理模块在执行安装命令时未对输入进行过滤,导致 shell 指令注入并实现远程代码执行(RCE)。此外,系统还涉及路径穿越风险,允许向服务器写入任意文件。相关漏洞细节现已在包括 GitHub 在内的多个渠道广泛公开。
mrxn.net | Github
🍀在花频道 🍵茶馆聊天 📮投稿
开源任务管理平台青龙面板(Qinglong)存在多项严重安全漏洞,涉及包括最新版 V2.20.1 在内的多个版本。由于 Express 框架路由匹配对大小写不敏感,且 URL 重写逻辑存在缺陷,攻击者可绕过 JWT 鉴权接口重置管理员密码。同时,依赖管理模块在执行安装命令时未对输入进行过滤,导致 shell 指令注入并实现远程代码执行(RCE)。此外,系统还涉及路径穿越风险,允许向服务器写入任意文件。相关漏洞细节现已在包括 GitHub 在内的多个渠道广泛公开。
mrxn.net | Github
🍀在花频道 🍵茶馆聊天 📮投稿
来自频道: @zaihuapd
⚠️ 评论区加载失败
可能原因:
- 浏览器广告拦截器阻止了 Telegram widget
- 网络连接问题
解决方法: