[更新] 安全警报：宝塔面板附带的WAF防火墙存在SQL注入漏洞请加强防御 – 蓝点网

发布时间：2026-04-14 10:06:38 作者：玩站小弟

2024年2月17日15:13发布更新：宝塔回应称该漏洞去年就已经修复，同时该漏洞仅可以查询数据、无法造成其他威胁。另外宝塔WAF防火墙与宝塔面板是两个产品，蓝点网在本文中已经强调是WAF防火墙，不是。

2024年2月17日15:13发布更新：宝塔回应称该漏洞去年就已经修复，更新同时该漏洞仅可以查询数据、安全无法造成其他威胁。警报加强另外宝塔WAF防火墙与宝塔面板是宝塔两个产品，蓝点网在本文中已经强调是面板WAF防火墙，不是附带防火防御宝塔面板。

据 V2EX 网友发布的洞请帖子，在春节期间他在研究宝塔面板的墙存漏洞时，发现宝塔面板附带的入漏 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。

宝塔面板的蓝点 WAF 本身是一款收费产品，购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的更新，但没想到这个模块本身也存在 SQL 注入漏洞。安全

安全警报：宝塔面板附带的警报加强WAF防火墙存在SQL注入漏洞请加强防御

漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中，构造满足特定条件的宝塔 IP 地址和域名的情况下，不需要进行任何验证即可访问宝塔面板 API。面板

而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来满足上面要求的条件。

目前该网友已经将漏洞通报给宝塔官方，不过比较迷惑的是现在不清楚漏洞是否已经修复，但漏洞细节已经公布了，因此各位宝塔用户要加强防御，避免泄露自己的服务器地址。

另外对于该问题宝塔面板官方也没有进行任何回应，不知道是准备不回应了直接悄悄发个热补丁进行修复还是准备怎么做。

注：请不要进行漏洞未修复就公布细节的行为，否则很容易踩缝纫机。

Tag：

《这就是警察2》发售时间公布今年秋季全平台登陆
这就是警察2是系列最新作品，最近关于游戏发售消息公布，这款游戏将在今年秋季发售，具体发售时间没有确定也是让玩家纷纷猜测，游戏采用冒险模拟玩法，会带来什么样的新体验，大家可以期待一下。今年早些时候，We
2026-04-14
B社：《德军总部3》正正在开辟！《热诚》系列出逝世透
Bethesda有很多大年夜型游戏正正在开辟，而很多玩家皆非常念晓得，B社到底会没有会开辟《德军总部》战《热诚》系列的齐新绝做：《德军总部：新血液》仿佛又没有是系列正传——果为称吸里出稀有字序号，而《
2026-04-14
iPhone XS/XS Max/XR各天区卖价对比国止12799元
本日苹果正式公布了3款齐新iPhone产品，包露5.8英寸的iPhone Xs、6.1英寸的iPhone Xr战6.5英寸的iPhone Xs Max。抵消耗者去讲，新机的代价天然是非常闭头的一环。现
2026-04-14
微硬公布Win10 Build 17760(RS5)预览改良游戏兼容性
微硬圆才公布了里背快速更新Fast Ring）通讲的 Windows 10 Build 17760RS5）Insider 测试者预览，本次更新尾要改进了对诸多游戏的兼容性特别是腾讯仄台）。果为游戏的复
2026-04-14
小象的朋友考拉熊的故事
小象贝贝和考拉(koala)熊是很要好的朋友。曾经他们住在一路，每日都一路上学，一路放学回家。周最后还会一路去野外郊游。两个人非常要好，生活得也非常开心。可是，这样的好日子没有持续多久，考拉熊一家要搬
2026-04-14
短视频经济还能持续多久？如何进行分析？
短视频现在的发展越来越好了，所以很多的网友会考虑去做短视频，目前做短视频的人同样存在一些疑虑，短视频经济究竟还能够持续多长的时间呢?下面的内容中进行介绍。短视频经济还能持续多久?这是一个复杂的问题，没
2026-04-14