飞牛OS最新版1.1.15-1493仍存极其严重WebSocket漏洞
截至目前,飞牛OS新版1.1.15-1493中的WebSocket接口仍然存在命令注入漏洞。允许攻击者通过伪造 WebSocket 请求中的签名,执行恶意命令。该漏洞需要攻击者先登录并获取有效的认证凭证,但一旦成功认证,攻击者可利用漏洞注入系统命令,造成严重的安全风险。
该漏洞需有效账户登录,且可能伴随认证绕过问题,导致系统Mirror添加功能被滥用。
PS:此漏洞管理组判断为极其严重的authorization bypass 漏洞,经管理组在本地环境中测试已成功,并且由于飞牛OS用户群比较庞大,怀疑已有大量飞牛OS系统的版本已被当作肉机使用,建议所有使用飞牛OS用户暂时关闭一切公网访问和内网穿透,并及时断网排查隐患。
Telegram 评论区
138 条回复,可以前往 Telegram 继续讨论。