Репост из: 今天abc看了啥 🤔
https://github.com/qbittorrent/qBittorrent/issues/18618
据 issue ,知名 BT 下载软件 qBittorrent* 的 4.5.0/4.5.1 版本出现了路径穿越漏洞,可导致攻击者通过已经启用的 WebUI 任意下载宿主上的文件,建议慎重升级。
*此漏洞与反斜杠相关,看上去只影响 Windows 版本。
**把安全漏洞细节直接发在 issue 上并不是什么好主意,所以警惕随之而来的扫描。建议套一层 nginx 以基于启用 basic auth 的密码验证。
据 issue ,知名 BT 下载软件 qBittorrent* 的 4.5.0/4.5.1 版本出现了路径穿越漏洞,可导致攻击者通过已经启用的 WebUI 任意下载宿主上的文件,建议慎重升级。
*此漏洞与反斜杠相关,看上去只影响 Windows 版本。
**把安全漏洞细节直接发在 issue 上并不是什么好主意,所以警惕随之而来的扫描。建议套一层 nginx 以基于启用 basic auth 的密码验证。