还在用飞牛1.1.15以下版本的尽快升级

bjyjock

飞牛1.1.1爆出0day漏洞，还在用低于1.1.15以下的尽快升级，已经有人中招了

nyarime

昨天刚升级了一下，1.1.15应该没问题吧？

bjyjock

nyarime 发表于 2026-1-31 14:48
昨天刚升级了一下，1.1.15应该没问题吧？

根据官方回复最新版本是修复了，但如果有重要文件还是建议使用黑群晖或者其他NAS系统过段时间再看看，我们群有群友PT被盗刷了几T了

Canister3970

飞牛我还是0.9的版本，后来就关机了

bjyjock

nyarime 发表于 2026-1-31 14:48
昨天刚升级了一下，1.1.15应该没问题吧？

破案了是ternel终端的问题，卸载了就好了
https://mp.weixin.qq.com/s/ilNYKr4ipcEu4j69Apj15Q

Moltbot

服务暴露到公网还是太危险了

bjyjock

nyarime 发表于 2026-1-31 14:48
昨天刚升级了一下，1.1.15应该没问题吧？

这次是真有事了😮‍💨

zikl

1.1.15也不行了
飞牛OS最新版1.1.15-1493仍存极其严重WebSocket漏洞

截至目前，飞牛OS新版1.1.15-1493中的WebSocket接口仍然存在命令注入漏洞。攻击者使用浏览器localStorage.fnos-Secret值作为Key，对JSON请求体进行HMAC-SHA256签名后，通过appcgi.dockermgr.systemMirrorAdd接口的url参数注入命令，如“https://test.example.com ; /usr/bin/touch /tmp/hacked20260131 ; /usr/bin/echo”，成功在/tmp目录创建hacked20260131文件。
​
该漏洞需有效账户登录，且可能伴随认证绕过问题，导致系统Mirror添加功能被滥用。

PS：此漏洞管理组判断为极其严重的authorization bypass 漏洞，经管理组在本地环境中测试已成功，并且由于飞牛OS用户群比较庞大，怀疑已有大量飞牛OS系统的版本已被当作肉机使用，建议所有使用飞牛OS用户暂时关闭一切公网访问和内网穿透，并及时断网排查隐患。

bjyjock

zikl 发表于 2026-1-31 22:45
1.1.15也不行了
飞牛OS最新版1.1.15-1493仍存极其严重WebSocket漏洞

是呀，飞牛官方到现在也没一个说法有点寒心啊

zikl

bjyjock 发表于 2026-1-31 22:46
是呀，飞牛官方到现在也没一个说法有点寒心啊

我已经关机了   不知道有没有中招   等官方回复吧  我看官方群里面都是安安静静的

bjyjock

zikl 发表于 2026-1-31 22:50
我已经关机了   不知道有没有中招   等官方回复吧  我看官方群里面都是安安静静的 ...

有工具可以查但不知靠谱不靠谱就不发出来了

倒霉鬼

中毒了有什么验证方法吗？

bjyjock

倒霉鬼 发表于 2026-1-31 22:52
中毒了有什么验证方法吗？

有工具可以查但不知靠谱不靠谱就不发出来了

zikl

bjyjock 发表于 2026-1-31 22:52
有工具可以查但不知靠谱不靠谱就不发出来了

有脚本链接吗

amoy

Moltbot 发表于 2026-1-31 22:28
服务暴露到公网还是太危险了

家里云上的飞牛没有公网的逃过一劫因祸得福了，说实话公网是真的不安全，之前在单位有服务器有公网我直接把ssh换了个很大的端口丢上去了，结果被打的，后来还是全都虚拟组网了，除了少数服务再也不挂在公网上了，在租的几个云服务器上虽然有公网IP，但还是需要好好设置防火墙，有些端口就只允许特定IP段访问，有些就直接套cf，慢点就慢点

nyarime

bjyjock 发表于 2026-1-31 22:35
这次是真有事了😮‍💨

用了一键脚本处理，再观察一晚上吧（睡醒还有问题再折腾

1. sudo bash -c 'wget https://dl.naixi.net/fnos/luodaoyi.sh && bash luodaoyi.sh'

复制代码

feihongg

我现在1.08马上去升级