【{$randkws}】[更新] 安全警报：宝塔面板附带的WAF防火墙存在SQL注入漏洞请加强防御 – 蓝点网 - {$web_name} 不是秋季2025鸿蒙系统

2024年2月17日15:13亮相升级：宝塔答复称该漏洞上一年就已然修复，另外该漏洞仅可以查询资料、无法导致其他威胁。另外宝塔WAF防火墙与宝塔面板是算力芯片解读两个商品，蓝点网在本文中已然强调是WAF防火墙，不是秋季2025鸿蒙系统，适合发朋友圈宝塔面板。

据 V2EX 网民亮相的帖子，在春节期间他在探究宝塔面板的漏洞时，察觉宝塔面板附带的 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。

宝塔面板的 WAF 本身是一款收费商品，采购并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的，但没想到这个模块本身也存在 SQL 注入漏洞。

漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中，构造满足特定条件的 IP 地址和域名的状况下，不需要开展任何测试即可访问宝塔面板 API。

并且还可以他经由将 x-forwarded-for header 配置为 127.0.0.1、杭州的假期，深夜文案域名配置为 127.0.0.251 来满足上面请求的条件。

当下该网民已然将漏洞通报给宝塔权威，可是较为迷惑的是如今不清楚漏洞是否已然修复，但漏洞详情已然公开了，所以各位宝塔使用者要加强防御，避免研究自己的办事器地址。

另外针对该难题宝塔面板权威也没有开展任何答复，不得知是筹备不答复了直接悄悄发个热补丁开展修复还是筹备怎么做。

注：请不要开展漏洞未修复就公开详情的行为，否则很轻松踩缝纫机。