飞牛OS最新版1.1.15-1493仍存极其严重WebSocket漏洞截至目前，飞牛OS新版1.1.15-1493中的WebSocket接口仍然存在命令注入漏洞

科技圈🎗在花频道📮

友情提醒：请升级飞牛OS 到最新版本飞牛 OS 出现严重 0day 漏洞，可通过路径穿越访问 NAS 上任意文件，包括系统配置文件和用户存储文件。目前已知 1.1.15 版本已修复；影响范围未知，1.1.15 以下版本均可能受影响，此次漏洞影响使用官方穿透和端口映射到公网的用户。飞牛论坛已有大量用户反馈中招，具体表现为家庭网络不稳定，TCP连接数暴增。官方已知该路径穿越漏洞的情况下，不进行公告，警告/督促用户升级到最新版本 1月31日 7:39PM更新，使用飞牛官方穿透用户也受本漏洞影响。…

飞牛OS最新版1.1.15-1493仍存极其严重WebSocket漏洞

截至目前，飞牛OS新版1.1.15-1493中的WebSocket接口仍然存在命令注入漏洞。允许攻击者通过伪造 WebSocket 请求中的签名，执行恶意命令。该漏洞需要攻击者先登录并获取有效的认证凭证，但一旦成功认证，攻击者可利用漏洞注入系统命令，造成严重的安全风险。

该漏洞需有效账户登录，且可能伴随认证绕过问题，导致系统Mirror添加功能被滥用。

PS：此漏洞管理组判断为极其严重的authorization bypass 漏洞，经管理组在本地环境中测试已成功，并且由于飞牛OS用户群比较庞大，怀疑已有大量飞牛OS系统的版本已被当作肉机使用，建议所有使用飞牛OS用户暂时关闭一切公网访问和内网穿透，并及时断网排查隐患。

🍀在花频道 🍵茶馆聊天 📮投稿