倒霉鬼又倒霉了，家nas青龙面板被黑植入挖矿脚本了

倒霉鬼

刚刚看到来源：https://t.me/zaihuapd/39934

倒霉鬼又倒霉了
倒霉鬼特地又去看了一遍面板，发现了异常的ip登陆日志，并且面板把cpu跑满了，难怪nas上网很卡
原来青龙面板被黑客上了，植入了那个挖矿脚本，呜呜呜，怎么办，还好是docker部署的，备份数据重新安装恢复的话，挖矿脚本应该还在吧？
以后青龙是不能放公网了，只能cf access了，害

青龙面板多版本曝出鉴权绕过与远程代码执行漏洞

开源任务管理平台青龙面板（Qinglong）存在多项严重安全漏洞，涉及包括最新版 V2.20.1 在内的多个版本。由于 Express 框架路由匹配对大小写不敏感，且 URL 重写逻辑存在缺陷，攻击者可绕过 JWT 鉴权接口重置管理员密码。同时，依赖管理模块在执行安装命令时未对输入进行过滤，导致 shell 指令注入并实现远程代码执行（RCE）。此外，系统还涉及路径穿越风险，允许向服务器写入任意文件。相关漏洞细节现已在包括 GitHub 在内的多个渠道广泛公开。

Godtokoo

面板我都是开CF ZeroTrust的

Xina

只用内网就好了

kernelpanic

以后不敢直接往公网开了

samhou

自己一个人用家里云+tailscale，和朋友一起用用cf zerotrust，只有给所有人看的才放公网

moyuwuhen

F50上装的不怕，只能内网访问

周杰伦

最近刚出的漏洞

lzbnet

看了一眼自己的面板，好在还正常