acme.sh 存在 RCE 漏洞，已经被国产 HiCA 利用

acme.sh存在RCE漏洞，已经被国产HiCA利用https://github.com/acmesh-official/acme.sh/issues/4659相关讨论：https://www.v2ex.com/t/947389https://twitter.com/mholt6/status/1666920303279349760关于HiCA：https://www.v2ex.com/t/868344新添加：https://github.com/acmesh-official/acme.sh/issues/4659#issuecomment-1584414218确实利用了bug但是没有恶意群友反馈稍微整理了下，有意见留言投稿：@ZaiHuaBot频道：@TestFlightCN

重要: 宝塔 WAF 防火墙存在未授权访问漏洞，攻击者可通过漏洞访问后台API

重要:宝塔WAF防火墙存在未授权访问漏洞，攻击者可通过漏洞访问后台API最近在V2EX上有用户报告发现了一个关于宝塔WAF的未授权访问漏洞。这个漏洞允许未经授权的用户绕过登录验证，无视宝塔的随机登录地址，直接访问宝塔后台的某些API，实现远程控制漏洞原理：这个漏洞存在于/cloud_waf/nginx/conf.d/waf/public/waf_route.lua文件中，通过检查源代码可以发现，只要请求满足特定的IP和域名条件，就可以无需登录直接访问后台API，通过特定的HTTP请求头配置，攻击者可以模拟来自127.0.0.1的请求，并将Host头设置为127.0.0.251，从而绕过宝塔的访问控制。这种方式允许攻击者执行包括获取已拉黑IP列表、解封IP、删除所有日志等多种操作。注：这表明宝塔WAF的核心防护功能存在严重的安全设计缺陷。安全建议：1.宝塔用户应该立即检查自己的系统，看是否存在被这个漏洞利用的迹象。2.关注宝塔官方的通告和更新，及时安装最新的安全补丁。3.考虑采取额外的安全措施，比如使用第三方的安全工具来增强WAF的防护能力。注：用户卸载WAF也可避免该问题参考消息：