[更新] 安全警报:宝塔面板附带的WAF防火墙存在SQL注入漏洞请加强防御 – 蓝点网
发布时间:2026-03-24 04:55:27 作者:玩站小弟 
我要评论
我要评论2024年2月17日15:13发布更新:宝塔回应称该漏洞去年就已经修复,同时该漏洞仅可以查询数据、无法造成其他威胁。另外宝塔WAF防火墙与宝塔面板是两个产品,蓝点网在本文中已经强调是WAF防火墙,不是
。
2024年2月17日15:13发布更新:宝塔回应称该漏洞去年就已经修复,更新同时该漏洞仅可以查询数据、安全无法造成其他威胁。警报加强另外宝塔WAF防火墙与宝塔面板是宝塔两个产品,蓝点网在本文中已经强调是面板WAF防火墙,不是附带防火防御宝塔面板。
据 V2EX 网友发布的洞请帖子,在春节期间他在研究宝塔面板的墙存漏洞时,发现宝塔面板附带的入漏 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。
宝塔面板的蓝点 WAF 本身是一款收费产品,购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的更新,但没想到这个模块本身也存在 SQL 注入漏洞。安全
漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中,构造满足特定条件的宝塔 IP 地址和域名的情况下,不需要进行任何验证即可访问宝塔面板 API。面板
而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来满足上面要求的条件。
目前该网友已经将漏洞通报给宝塔官方,不过比较迷惑的是现在不清楚漏洞是否已经修复,但漏洞细节已经公布了,因此各位宝塔用户要加强防御,避免泄露自己的服务器地址。
另外对于该问题宝塔面板官方也没有进行任何回应,不知道是准备不回应了直接悄悄发个热补丁进行修复还是准备怎么做。
注:请不要进行漏洞未修复就公布细节的行为,否则很容易踩缝纫机。
相关文章
怒之铁拳4是系列最新作品,这款游戏在前作的基础上加入了新的玩法机制,以及全新的故事和关卡,最近官方也是放出了新的预告视频,有兴趣可以看看了解一下。DotEmu和世嘉日前公布消息,他们正在制作经典街机游2026-03-24
THQ确认,公司计划在8月推出《战锤40K:星际战士(Warhammer 40K:Space Marine)》。此前,THQ只是含糊地表示游戏将在夏季上市。《星际战士》不同于以往大家熟知的那些RTS的2026-03-24
女巫森林版本已经上线了半个月了,在这半个月中牛鬼蛇神的卡组都在天梯上肆虐。不过有一些小伙伴并不想玩毒瘤,那么除了电影萨萨满还有什么好的卡组玩呢?下面99安卓网小编要为大家介绍的这套卡组就是不带电影的中2026-03-24
QQ飞车手游黄河守卫获取方式及特性介绍发布时间:2022-09-20 09:39:50来源:逗游作者:逗游网QQ飞车手游角色端游赛车游戏类别:体育竞技游戏大小:1.91G 游戏语言:简体中文游戏版本:2026-03-24
一年一度的花魁赛即将绽放光彩,本年的嘉奖阵容可谓豪华进级,让我们松随足步,一探事真,那场衰事将带去如何的狂悲欣喜!花魁赛大年夜进级,单榜单助力玩家争夺光枯花魁赛齐新进级,单榜单并止,齐球榜与七夕积分榜2026-03-24
全新马里奥游戏《超级马里奥兄弟Wonder》文件容量公布2023-06-24 12:32:13编辑:Reset 本作正式公2026-03-24
最新评论