设为首页收藏本站开通Vip积分充值极速删帖通道违规用户-点我查看 劰载中...
点击注册账号购买邀请码投放广告切换到宽版

 找回密码
 立即注册

QQ登录

只需一步,快速开始

听天命
扫描二维码关注官方公众号
捷云鲸技术社区»首页 编程安全与破解 资源分享 宝塔面板WAF防火墙存在SQL注入漏洞
12345678910... 28下一页
返回列表 发新帖
查看: 48582|回复: 270

宝塔面板WAF防火墙存在SQL注入漏洞

 火... [复制链接]
admin (帅逼1)实名认证
主题 主题 1319
回帖 回帖 73
等级头衔
组别 : 管理员

等级 :

积分成就
下载币 : 385 枚
交易币 : 0 枚
贡献 : 999999 粒
云鲸币 : 117509 枚
Icon在线时间 : 862 小时
Icon注册时间 : 2025-1-11
Icon最后登录 : 2026-4-4
Ta最近发表:

更多Ta的好帖>>
发表于 2025-2-13 18:28:50 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转无忧吧。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
V2EX 网友发布的帖子,在春节期间他在研究宝塔面板的漏洞时,发现宝塔面板附带的 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。
宝塔面板的 WAF 本身是一款收费产品,购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的,但没想到这个模块本身也存在 SQL 注入漏洞。

漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中,构造满足特定条件的 IP 地址和域名的情况下,不需要进行任何验证即可访问宝塔面板 API。
而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来满足上面要求的条件。
目前该网友已经将漏洞通报给宝塔官方,不过比较迷惑的是现在不清楚漏洞是否已经修复,但漏洞细节已经公布了,因此各位宝塔用户要加强防御,避免泄露自己的服务器地址。

[color=var(--post-content-color)]
另外对于该问题宝塔面板官方也没有进行任何回应,不知道是准备不回应了直接悄悄发个热补丁进行修复还是准备怎么做。




无忧技术吧-免责声明:
1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关。一切关于该内容及资源商业行为与www.92wuyou.cn无关。
2、本站提供的一切资源内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。
3、本站信息来自第三方用户,非本站自制,版权归原作者享有,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
4、注册会员通过任何手段和方法针对论坛进行破坏,我们有权对其行为作出处理。并保留进一步追究其责任的权利。
5、无忧技术吧(www.92wuyou.cn)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。无忧技术吧不承担任何因为技术滥用所产生的连带责任。无忧技术吧内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或QQ与我们联系处理。
6、如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵犯你版权的,请邮件与我们联系删除(邮箱:whctwlgzs@foxmail.com),本站将立即改正。
联系方式:
站长邮箱:whctwlgzs@foxmail.com
站长QQ:4040068
无忧技术吧bbs.jieyunjing.com
回复

使用道具 举报

XMNGZS (帅逼29)
主题 主题 6
回帖 回帖 262
等级头衔
组别 : 正式会员

等级 :

积分成就
下载币 : 24 枚
交易币 : 0 枚
贡献 : 0 粒
云鲸币 : 288 枚
Icon在线时间 : 23 小时
Icon注册时间 : 2025-1-21
Icon最后登录 : 2026-2-23
发表于 2025-2-18 23:36:50 | 显示全部楼层
感谢楼主分享。
无忧技术吧bbs.jieyunjing.com
回复

使用道具 举报

雅韵流芳 (帅逼1018)
主题 主题 0
回帖 回帖 732
等级头衔
组别 : 正式会员

等级 :

积分成就
下载币 : -1 枚
交易币 : 3 枚
贡献 : 0 粒
云鲸币 : 46 枚
Icon在线时间 : 0 小时
Icon注册时间 : 2025-2-26
Icon最后登录 : 2026-4-3
发表于 2025-2-26 14:22:59 | 显示全部楼层
我是个凑数的。。。
无忧技术吧bbs.jieyunjing.com
回复

使用道具 举报

书情逸逸韵 (帅逼1197)
主题 主题 0
回帖 回帖 733
等级头衔
组别 : 正式会员

等级 :

积分成就
下载币 : 0 枚
交易币 : 3 枚
贡献 : 0 粒
云鲸币 : 38 枚
Icon在线时间 : 0 小时
Icon注册时间 : 2025-2-26
Icon最后登录 : 2026-4-3
发表于 2025-2-26 14:23:15 | 显示全部楼层
学习了,不错,讲的太有道理了
无忧技术吧bbs.jieyunjing.com
回复

使用道具 举报

笔落惊鸿 (帅逼1039)
主题 主题 0
回帖 回帖 771
等级头衔
组别 : 正式会员

等级 :

积分成就
下载币 : -1 枚
交易币 : 3 枚
贡献 : 0 粒
云鲸币 : 48 枚
Icon在线时间 : 0 小时
Icon注册时间 : 2025-2-26
Icon最后登录 : 2026-4-4
发表于 2025-2-26 14:26:03 | 显示全部楼层
有道理。。。
无忧技术吧bbs.jieyunjing.com
回复

使用道具 举报

素月流天 (帅逼996)
主题 主题 0
回帖 回帖 796
等级头衔
组别 : 正式会员

等级 :

积分成就
下载币 : -1 枚
交易币 : 4 枚
贡献 : 0 粒
云鲸币 : 38 枚
Icon在线时间 : 0 小时
Icon注册时间 : 2025-2-26
Icon最后登录 : 2026-4-4
发表于 2025-2-26 14:27:50 | 显示全部楼层
路过,支持一下啦
无忧技术吧bbs.jieyunjing.com
回复

使用道具 举报

棋艺高超 (帅逼1075)
主题 主题 0
回帖 回帖 776
等级头衔
组别 : 正式会员

等级 :

积分成就
下载币 : -1 枚
交易币 : 7 枚
贡献 : 0 粒
云鲸币 : 47 枚
Icon在线时间 : 0 小时
Icon注册时间 : 2025-2-26
Icon最后登录 : 2026-4-3
发表于 2025-2-26 14:28:22 | 显示全部楼层
看帖回帖是美德!宝塔面板WAF防火墙存在SQL注入漏洞 6347 无忧技术吧www.92wuyou.cn
无忧技术吧bbs.jieyunjing.com
回复

使用道具 举报

才情展风华 (帅逼1131)
主题 主题 0
回帖 回帖 755
等级头衔
组别 : 正式会员

等级 :

积分成就
下载币 : 0 枚
交易币 : 5 枚
贡献 : 0 粒
云鲸币 : 40 枚
Icon在线时间 : 0 小时
Icon注册时间 : 2025-2-26
Icon最后登录 : 2026-4-3
发表于 2025-2-26 14:29:42 | 显示全部楼层
我是来刷分的,嘿嘿
无忧技术吧bbs.jieyunjing.com
回复

使用道具 举报

晓风残月 (帅逼1007)
主题 主题 0
回帖 回帖 791
等级头衔
组别 : 正式会员

等级 :

积分成就
下载币 : 0 枚
交易币 : 6 枚
贡献 : 0 粒
云鲸币 : 44 枚
Icon在线时间 : 0 小时
Icon注册时间 : 2025-2-26
Icon最后登录 : 2026-4-4
发表于 2025-2-26 14:31:14 | 显示全部楼层
学习了,谢谢分享、、、
无忧技术吧bbs.jieyunjing.com
回复

使用道具 举报

妙笔生花 (帅逼1022)
主题 主题 0
回帖 回帖 762
等级头衔
组别 : 正式会员

等级 :

积分成就
下载币 : 0 枚
交易币 : 5 枚
贡献 : 0 粒
云鲸币 : 43 枚
Icon在线时间 : 0 小时
Icon注册时间 : 2025-2-26
Icon最后登录 : 2026-4-4
发表于 2025-2-26 14:32:19 | 显示全部楼层
我是个凑数的。。。
无忧技术吧bbs.jieyunjing.com
回复

使用道具 举报

下一页 »
12345678910... 28下一页
返回列表 发新帖
*滑块验证:
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /2 下一条