如果没有被黑产利用,飞牛就不打算修复路径跨越的漏洞了吗

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in，那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动，会导致账号被禁用。

This topic created in 83 days ago, the information mentioned may be changed or developed.

时间线:

12 月 23 日有用户在论坛上报路径跨越漏洞,官方账号回复让人看下 ( https://club.fnnas.com/forum.php?mod=viewthread&tid=48354&highlight=)
(飞牛继续保持每周更新,始终没有修复这个高危漏洞)
1 月 20 日开始,陆续有用户的设备被入侵
1 月 30 日的周版本(v1.1.15)修复了路径跨越漏洞
1 月 31 日大量设备病毒发作, 变成 DDoS 肉鸡
2 月 1 日发布了带病毒清理的版本(v1.1.18)

看起来飞牛是发现这个漏洞会被黑客利用才需修复的,并且到现在仍未对未升级的版本在 FN connect 中进行保护

漏洞

修复

病毒

19 replies 2026-02-02 20:06:12 +08:00

cloverzrg2

Feb 2

dushixiang

Feb 2

minami

Feb 2 via Android

那就不得不怀疑到底是后门还是漏洞了

curtinp

Feb 2

哈哈摔锅《 HTTP 协议导致的》才是最骚的

thevita

Feb 2

很明显：团队没有懂安全的人，也没意识到需要这样一个角色

wuzhewuyou

Feb 2 via Android

随便写个 web 下载功能，ai 都会提醒这个注意路径跨越漏洞

wonderfulcxm

Feb 2 via iPhone

口碑遭遇滑铁卢

lisxour

Feb 2

我们技术是没问题的，那是你们用 http 才导致的！

alfawei

Feb 2

@wonderfulcxm 有些狂热粉丝这类的人还是不以为然

Hephaistos

Feb 2

路径跨越你开网站出现，当地网安都会上面让你整改的

jjx

Feb 2

资源不够/关注度可能更侧重功能

我有一个观点,其实很多公司在初期基本都是如此,内部很乱, 都是一堆问题, 熬过去了,有钱了, 才会慢慢正常

飞牛就是还没过这个阶段,结果问题先暴露而已, 很多都熬过这个阶段, 其实早先也是一堆问题,就是没有爆而已

a9htdkbv

Feb 2

悲报，飞牛论坛打不开了

collery

Feb 2

我也发现打不开了

cloverzrg2

Feb 2

@jjx #11
但是这种可随意下载设备内任意文件(包括机器私钥/usr/trim/etc/rsa_private_key.pem 、云盘绑定的 secret 、smb 挂载的明文密码、用户的文件等)的安全问题, 完全不能用正常的修复 bug 的态度去排期, 需要立即制定应对措施和修复.

后续造成用户的设备被入侵变成肉鸡, 也是因为下载了机器私钥用它生成 token, 再搭配飞牛的其他的漏洞, 可执行任意的命令, 导致的.

复现代码: https://github.com/bron1e/fnos-rce-chain