V2EX 网友发布的帖子,在春节期间他在研究宝塔面板的漏洞时,发现宝塔面板附带的 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。
宝塔面板的 WAF 本身是一款收费产品,购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的,但没想到这个模块本身也存在 SQL 注入漏洞。
漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中,构造满足特定条件的 IP 地址和域名的情况下,不需要进行任何验证即可访问宝塔面板 API。
而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来满足上面要求的条件。
目前该网友已经将漏洞通报给宝塔官方,不过比较迷惑的是现在不清楚漏洞是否已经修复,但漏洞细节已经公布了,因此各位宝塔用户要加强防御,避免泄露自己的服务器地址。
另外对于该问题宝塔面板官方也没有进行任何回应,不知道是准备不回应了直接悄悄发个热补丁进行修复还是准备怎么做。
