2024年2月17日15:13发布更新：宝塔回应称该漏洞去年就已经修复，更新同时该漏洞仅可以查询数据、安全无法造成其他威胁。警报加强另外宝塔WAF防火墙与宝塔面板是宝塔两个产品，蓝点网在本文中已经强调是面板WAF防火墙，不是附带防火防御宝塔面板。

据 V2EX 网友发布的洞请帖子，在春节期间他在研究宝塔面板的墙存漏洞时，发现宝塔面板附带的入漏 WAF 防火墙 (宝塔 Nginx 防火墙) 存在 SQL 注入漏洞。

宝塔面板的蓝点 WAF 本身是一款收费产品，购买并开通后可以用来拦截 CC 攻击或者 SQL 注入之类的更新，但没想到这个模块本身也存在 SQL 注入漏洞。安全

漏洞位于 /cloud_waf/nginx/conf.d/waf/public/waf_route.lua 中，构造满足特定条件的宝塔 IP 地址和域名的情况下，不需要进行任何验证即可访问宝塔面板 API。面板

而且还可以他通过将 x-forwarded-for header 设置为 127.0.0.1、域名设置为 127.0.0.251 来满足上面要求的条件。

目前该网友已经将漏洞通报给宝塔官方，不过比较迷惑的是现在不清楚漏洞是否已经修复，但漏洞细节已经公布了，因此各位宝塔用户要加强防御，避免泄露自己的服务器地址。

另外对于该问题宝塔面板官方也没有进行任何回应，不知道是准备不回应了直接悄悄发个热补丁进行修复还是准备怎么做。

注：请不要进行漏洞未修复就公布细节的行为，否则很容易踩缝纫机。

• ·漫改游《在天津御空：云之彼端》已上线Steam将于11.28发售
• ·传讲传闻：EA将重逝世拳击游戏《搏击之夜》
• ·《飞刀又睹飞刀》7月19日齐仄台公测 特性游历体系掀秘
• ·《Dayz》终究要结束冗少的EA测试 去岁会有大年夜更新
• ·《拂晓：胜利之刻》夏炽花火 紧握盛夏
• ·HB超值新包Jingle Jam 2017代价5600元：仅卖230元 露60多项内容
• ·塔防游戏《经历经验》估计去岁出售 支撑简体中文
• ·《飞刀又睹飞刀》嫡齐仄台浑爽公测 古龙名侠群雄毕至
• ·《The Star Named EOS︰未晓星程》7月23日已正式发售
• ·驯化群妖强者为辱 《捉妖记》妖辱弄法本日暴光
• ·《战锤：季世鼠疫2》新截图 矮人王者大年夜战浑沌军团
• ·日本最有钱公司排止榜最新统计：任天国第一 索僧第四
• ·《死神：魂魄觉醒》玩法概述预告发布支持中文
• ·《刺客疑条：收源》“先止者”DLC预报 新设备科幻感真足
• ·《灭亡停顿》大年夜量新谍报：“弩哥”角色名为山姆 灵魂出窍水下重逝世
• ·Nexon第三季度财报：足游支进降降44%