飞牛OS最新版1.1.15-1493仍存极其严重WebSocket漏洞
截至目前,飞牛OS新版1.1.15-1493中的WebSocket接口仍然存在命令注入漏洞。允许攻击者通过伪造 WebSocket 请求中的签名,执行恶意命令。该漏洞需要攻击者先登录并获取有效的认证凭证,但一旦成功认证,攻击者可利用漏洞注入系统命令,造成严重的安全风险。
该漏洞需有效账户登录,且可能伴随认证绕过问题,导致系统Mirror添加功能被滥用。
截至目前,飞牛OS新版1.1.15-1493中的WebSocket接口仍然存在命令注入漏洞。允许攻击者通过伪造 WebSocket 请求中的签名,执行恶意命令。该漏洞需要攻击者先登录并获取有效的认证凭证,但一旦成功认证,攻击者可利用漏洞注入系统命令,造成严重的安全风险。
该漏洞需有效账户登录,且可能伴随认证绕过问题,导致系统Mirror添加功能被滥用。