半夜躺在床上睡不着的时候,手机弹出了青龙面板的登录通知,一看日志就觉得不对劲,打开电脑一看,原来是青龙面板出现了0day漏洞,被人攻击了...

image-20260301134509636.webp

看日志还运行了生成Token的任务,并且还主动删除了日志。我这个部署的时候是跑在docker里面的,但是偷懒没有修改默认的端口号。

image-20260301134725188.webp

Github上已经有明确的复现方法了:0day 青龙面板 最新版本 鉴权绕过导致 RCE · Issue #2934 · whyour/qinglong

image-20260301134744679.webp

github的issue上也已经有很多讨论了,我这也算是后知后觉了。

image-20260301134802022.webp

如果你也使用青龙面板,建议直接关闭公网访问,等新版本修复再更新。如果确实要使用,请保证有靠谱的waf防火墙。

截止本文发布时,青龙面板还没有推送最新版本修复本问题