近期青龙面板(Qinglong Panel)爆出严重高危漏洞,攻击者无需任何身份验证即可完全控制服务器。本文将详细介绍该漏洞的详情、危害及修复方案,强烈建议所有青龙面板用户立即采取行动。
漏洞概述
漏洞编号:QVD-2026-10895(也被标记为LDYVUL-2026-00032847)
威胁等级:高危(CVSS 3.1评分9.8)
公开时间:2026年2月27日
影响版本:青龙面板 v2.20.1及以下所有版本
修复版本:v2.20.2及以上
漏洞原理与技术细节
该漏洞本质上是身份认证绕过漏洞,攻击者通过两种主要方式实现未授权访问:
1. 路径大小写变体绕过
青龙面板的鉴权中间件配置为仅对以小写/api/开头的路径进行权限校验,但Express路由默认大小写不敏感。攻击者通过构造大小写变体路径(如/API/、/Api/、/aPi/等)即可绕过认证,直接访问受保护接口。
例如,攻击者可以发送以下请求执行任意系统命令:
curl -X PUT "http://127.0.0.1:5700/aPi/system/command-run" \
-H "Content-Type: application/json" \
-d '{"command": "id"}'2. 初始化接口绕过
通过/open/user/init路径,攻击者可以在已初始化的系统上绕过认证,直接重置用户凭证,获取管理员权限。
漏洞危害与影响范围
直接危害
完全服务器控制:攻击者可执行任意系统命令,获得root权限
数据窃取:可访问服务器上的所有敏感数据
恶意程序植入:已发现攻击者植入名为
.fullgc的挖矿木马,持续消耗CPU资源供应链攻击:青龙面板常用于管理自动化脚本(如京东签到),攻击者可篡改脚本窃取用户Cookie等敏感信息
影响范围
受影响资产:奇安信鹰图测绘数据显示,国内风险资产达17243个,关联IP总数7029个
部署场景:个人服务器、NAS设备(如拾光坞、飞牛、绿联等)、企业内网环境
利用状态:POC/EXP已公开,且已发现在野利用,风险极高
修复方案与紧急处置
根本解决方案:立即升级
唯一彻底的修复方法是升级到青龙面板 v2.20.2 或更高版本。
升级步骤:
访问青龙面板GitHub仓库:https://github.com/whyour/qinglong/
按照官方指南升级到最新版本
重启青龙面板服务
临时缓解措施(如无法立即升级)
关闭公网访问:立即关闭映射到外网的5700端口(或自定义端口),仅允许内网或可信IP访问
检查系统状态:
检查进程:执行
top或htop命令,查看是否存在.fullgc异常进程或高CPU占用进程检查文件:查看
/ql/data/db/目录下是否存在.fullgc隐藏文件检查配置文件:查看
config.sh文件是否被插入恶意代码
修改密码:如果发现异常,立即修改青龙面板及服务器所有重要服务的登录密码
针对NAS用户的特别提醒
多家NAS厂商(如拾光坞、飞牛、绿联)已暂时下架青龙面板应用。建议:
已安装用户立即按照上述方案处置
未安装用户暂时不要安装,等待官方发布安全修复版本并经厂商验证后再使用
安全建议
最小化暴露原则:切勿将青龙面板等管理服务直接暴露在公网,如需远程访问,使用VPN或厂商提供的安全内网穿透服务
定期更新:建立定期检查更新机制,及时安装安全补丁
监控与审计:定期检查系统日志、进程状态和文件变化,及时发现异常行为
纵深防御:在网络边界部署WAF,配置针对URL路径大小写混淆的拦截规则
总结
青龙面板此次漏洞因其利用门槛低、危害性大且已存在在野利用,对所有用户构成了严重威胁。攻击者无需任何前置条件即可完全控制服务器,可能导致数据泄露、资源被恶意占用等严重后果。
网络安全无小事,特别是对于承载重要数据的服务器和NAS设备。请务必重视此次安全警报,及时完成修复,保障您的数字资产安全。
注:本文基于2026年3月初的公开安全公告编写,具体细节请以青龙面板官方为准。