青龙面板多版本曝出鉴权绕过与远程代码执行漏洞
开源任务管理平台青龙面板(Qinglong)存在多项严重安全漏洞,涉及包括最新版 V2.20.1 在内的多个版本。由于 Express 框架路由匹配对大小写不敏感,且 URL 重写逻辑存在缺陷,攻击者可绕过 JWT 鉴权接口重置管理员密码。同时,依赖管理模块在执行安装命令时未对输入进行过滤,导致 shell 指令注入并实现远程代码执行(RCE)。此外,系统还涉及路径穿越风险,允许向服务器写入任意文件。相关漏洞细节现已在包括 GitHub 在内的多个渠道广泛公开。
Telegram 评论区
62 条回复,可以前往 Telegram 继续讨论。