None
acme.sh存在RCE漏洞,已经被国产HiCA利用https://github.com/acmesh-official/acme.sh/issues/4659相关讨论:https://www.v2ex.com/t/947389https://twitter.com/mholt6/status/1666920303279349760关于HiCA:https://www.v2ex.com/t/868344新添加:https://github.com/acmesh-official/acme.sh/issues/4659#issuecomment-1584414218确实利用了bug但是没有恶意群友反馈稍微整理了下,有意见留言投稿:@ZaiHuaBot频道:@TestFlightCN
重要:宝塔WAF防火墙存在未授权访问漏洞,攻击者可通过漏洞访问后台API最近在V2EX上有用户报告发现了一个关于宝塔WAF的未授权访问漏洞。这个漏洞允许未经授权的用户绕过登录验证,无视宝塔的随机登录地址,直接访问宝塔后台的某些API,实现远程控制漏洞原理:这个漏洞存在于/cloud_waf/nginx/conf.d/waf/public/waf_route.lua文件中,通过检查源代码可以发现,只要请求满足特定的IP和域名条件,就可以无需登录直接访问后台API,通过特定的HTTP请求头配置,攻击者可以模拟来自127.0.0.1的请求,并将Host头设置为127.0.0.251,从而绕过宝塔的访问控制。这种方式允许攻击者执行包括获取已拉黑IP列表、解封IP、删除所有日志等多种操作。注:这表明宝塔WAF的核心防护功能存在严重的安全设计缺陷。安全建议:1.宝塔用户应该立即检查自己的系统,看是否存在被这个漏洞利用的迹象。2.关注宝塔官方的通告和更新,及时安装最新的安全补丁。3.考虑采取额外的安全措施,比如使用第三方的安全工具来增强WAF的防护能力。注:用户卸载WAF也可避免该问题参考消息:
🔍 发送关键词来寻找群组、频道或视频。