还在用飞牛1.1.15以下版本的尽快升级
飞牛1.1.1爆出0day漏洞,还在用低于1.1.15以下的尽快升级,已经有人中招了昨天刚升级了一下,1.1.15应该没问题吧?
nyarime 发表于 2026-1-31 14:48
昨天刚升级了一下,1.1.15应该没问题吧?
根据官方回复最新版本是修复了,但如果有重要文件还是建议使用黑群晖或者其他NAS系统过段时间再看看,我们群有群友PT被盗刷了几T了 飞牛我还是0.9的版本,后来就关机了 nyarime 发表于 2026-1-31 14:48
昨天刚升级了一下,1.1.15应该没问题吧?
破案了是ternel终端的问题,卸载了就好了
https://mp.weixin.qq.com/s/ilNYKr4ipcEu4j69Apj15Q 服务暴露到公网还是太危险了 nyarime 发表于 2026-1-31 14:48
昨天刚升级了一下,1.1.15应该没问题吧?
这次是真有事了😮💨 1.1.15也不行了
飞牛OS最新版1.1.15-1493仍存极其严重WebSocket漏洞
截至目前,飞牛OS新版1.1.15-1493中的WebSocket接口仍然存在命令注入漏洞。攻击者使用浏览器localStorage.fnos-Secret值作为Key,对JSON请求体进行HMAC-SHA256签名后,通过appcgi.dockermgr.systemMirrorAdd接口的url参数注入命令,如“https://test.example.com ; /usr/bin/touch /tmp/hacked20260131 ; /usr/bin/echo”,成功在/tmp目录创建hacked20260131文件。
该漏洞需有效账户登录,且可能伴随认证绕过问题,导致系统Mirror添加功能被滥用。
PS:此漏洞管理组判断为极其严重的authorization bypass 漏洞,经管理组在本地环境中测试已成功,并且由于飞牛OS用户群比较庞大,怀疑已有大量飞牛OS系统的版本已被当作肉机使用,建议所有使用飞牛OS用户暂时关闭一切公网访问和内网穿透,并及时断网排查隐患。 zikl 发表于 2026-1-31 22:45
1.1.15也不行了
飞牛OS最新版1.1.15-1493仍存极其严重WebSocket漏洞
是呀,飞牛官方到现在也没一个说法有点寒心啊 bjyjock 发表于 2026-1-31 22:46
是呀,飞牛官方到现在也没一个说法有点寒心啊
我已经关机了 不知道有没有中招 等官方回复吧我看官方群里面都是安安静静的 zikl 发表于 2026-1-31 22:50
我已经关机了 不知道有没有中招 等官方回复吧我看官方群里面都是安安静静的 ...
有工具可以查但不知靠谱不靠谱就不发出来了 中毒了有什么验证方法吗? 倒霉鬼 发表于 2026-1-31 22:52
中毒了有什么验证方法吗?
有工具可以查但不知靠谱不靠谱就不发出来了 bjyjock 发表于 2026-1-31 22:52
有工具可以查但不知靠谱不靠谱就不发出来了
有脚本链接吗 Moltbot 发表于 2026-1-31 22:28
服务暴露到公网还是太危险了
家里云上的飞牛没有公网的逃过一劫{:penxue:}因祸得福了,说实话公网是真的不安全,之前在单位有服务器有公网我直接把ssh换了个很大的端口丢上去了,结果被打的,后来还是全都虚拟组网了,除了少数服务再也不挂在公网上了,在租的几个云服务器上虽然有公网IP,但还是需要好好设置防火墙,有些端口就只允许特定IP段访问,有些就直接套cf,慢点就慢点 bjyjock 发表于 2026-1-31 22:35
这次是真有事了😮💨
用了一键脚本处理,再观察一晚上吧(睡醒还有问题再折腾
sudo bash -c 'wget https://dl.naixi.net/fnos/luodaoyi.sh && bash luodaoyi.sh' 我现在1.08马上去升级
页:
[1]