宝塔面板的官方Demo疑被黑，HostLoc的网友认为这似乎印证了近期宝塔面板存在重大漏洞的传言。宝塔面板此前曾发布公告称“经过

宝塔面板的官方Demo疑被黑，HostLoc的网友认为这似乎印证了近期宝塔面板存在重大漏洞的传言。宝塔面板此前曾发布公告称“经过排查没有发现漏洞”。该Demo已经下线。 宝塔官方回复用户疑问，说DEMO没有防护，而且能登陆要改很容易。否认这是由于安全漏洞造成的。

速报：宝塔面板疑似出现全新高危漏洞，目前已出现大面积入侵

速报：宝塔面板疑似出现全新高危漏洞，目前已出现大面积入侵 影响版本：7.9.6及以下且使用nginx用户 风险等级：极高 处置建议: 停止使用BT面板且更换阿帕奇 [宝塔官方建议暂停面板] 排查方式: /www / server/ nginx/ sbin 目录下文件 1. nginx 11.80 MB 2. nginxBak 4.55 MB[备份] 3. nginx 4.51M [木马] 特征: 1.大小4.51 2.时间近期 3.nginx＆nginxBAK双文件 入侵者通过该漏洞拥有root权限，受限于面板高权限运行，修改宝塔各种账号密码+SSH账号密码均为无效。 入侵者可以修改nginx配置文件+数据库文件+网站根目录文件 站点可能出现大量日志同时CPU异常占用，暂不清楚漏洞点，切勿随意点击清除日志按钮 注: 大量新装用户反馈出现挂马，目前BT官方源可能出现问题，建议暂停安装

重要: 宝塔 WAF 防火墙存在未授权访问漏洞，攻击者可通过漏洞访问后台API

重要: 宝塔 WAF 防火墙存在未授权访问漏洞，攻击者可通过漏洞访问后台API 最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的未授权访问漏洞。这个漏洞允许未经授权的用户绕过登录验证，无视宝塔的随机登录地址，直接访问宝塔后台的某些API，实现远程控制 漏洞原理： 这个漏洞存在于/cloud_waf/nginx/conf.d/waf/public/waf_route.lua文件中，通过检查源代码可以发现，只要请求满足特定的IP和域名条件，就可以无需登录直接访问后台API，通过特定的HTTP请求头配置，攻击者可以模拟来自127.0.0.1的请求，并将Host头设置为127.0.0.251，从而绕过宝塔的访问控制。这种方式允许攻击者执行包括获取已拉黑IP列表、解封IP、删除所有日志等多种操作。 注：这表明宝塔WAF的核心防护功能存在严重的安全设计缺陷。 安全建议： 1. 宝塔用户应该立即检查自己的系统，看是否存在被这个漏洞利用的迹象。 2. 关注宝塔官方的通告和更新，及时安装最新的安全补丁。 3. 考虑采取额外的安全措施，比如使用第三方的安全工具来增强WAF的防护能力。 注：用户卸载 WAF 也可避免该问题 参考消息：

宝塔就“大量用户面板被挂马”发表公告：未发现安全漏洞

宝塔就“大量用户面板被挂马”发表公告：未发现安全漏洞 公告说：当前有个别用户反馈被挂马的情况，我司立即组织技术团队跟进排查，经过2天的紧急排查，暂未发现Nginx以及面板的安全漏洞，也没有大规模出现被挂马的情况；经分析，此木马主要行为是篡改Nginx主程序，以达到篡改网站响应内容。目前累计收到10个用户反馈网站被挂马，均为境外服务器，我们继续全力跟进和协助用户排查Nginx挂马情况，直到溯源出结果。