文章总结: 飞牛系统fnOS存在高危任意文件读取漏洞,攻击者可通过app-center-static接口利用路径遍历读取服务器敏感文件。该漏洞影响1.1.15以下版本,POC与EXP已公开。建议用户立即升级至1.1.15或更高版本修复漏洞,若需公网访问应开启防火墙、VPN或双因子认证以降低风险。 综合评分: 88 文章分类: 漏洞预警,漏洞分析,漏洞POC
【漏洞通告】飞牛系统(fnOS)任意文件读取漏洞
原创
常行安服团队 常行安服团队
常行科技
2026年2月4日 15:50 广东
飞牛私有云(fnOS)是一款基于Linux内核(Debian发行版)深度开发的国产免费NAS系统,飞牛系统FnOS下app-center-static接口存在导致任意文件读取漏洞。
| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | 飞牛系统(fnOS)任意文件读取漏洞 | | | | 漏洞编号 | 暂无 | | | | 公开时间 | 2026-01-31 | 影响量级 | 万级 | | 风险评级 | 高危 | CVSS 3.1分数 | 暂无 | | 威胁类型 | 任意文件读取 | 利用可能性 | 高 | | POC状态 | 已公开 | 在野利用状态 | 暂未发现 | | EXP状态 | 已公开 | 技术细节状态 | 已公开 |
漏洞详情
Vulnerability Details
0x00
-
漏洞描述
飞牛系统(fnOS)是一款国产网络附加存储(NAS)操作系统。飞牛系统(fnOS)适合追求功能丰富、预算有限且对数据安全要求不高的用户,尤其适合闲置硬件改造和影视娱乐场景。攻击者通过构造恶意请求,利用路径遍历字符(如../)绕过系统路径限制,直接访问服务器文件系统中的任意文件。攻击者可尝试读取服务器上的/etc/passwd文件,若漏洞存在,服务器将返回文件内容。
受影响范围
Affected Version
0x01
版本1.1.15以下
修复方案
Solutions
0x02
- 解决方案
1、立即升级至安全版本:
目前官方回应在x86版本的1.1.15版本已修复,请及时更新至最新版本
2、临时缓解措施:
在 NAS 设备开放公网访问权限时,优先采用安全访问方式(加密隧道 /2FA 验证 / 开启防火墙等),以进一步降低潜在安全风险
漏洞复现/验证
Reproduction
0x03
常行安服团队已成功复现飞牛系统(fnOS)任意文件读取漏洞,截图如下:
the end
以下视频来源于
数字北站
已关注
关注
重播 分享 赞
关闭
观看更多
更多
退出全屏
切换到竖屏全屏退出全屏
常行科技已关注
分享视频
,时长04:12
0/0
00:00/04:12
切换到横屏模式
继续播放
[ ]
进度条,百分之0
播放
00:00
/
04:12
04:12
倍速
全屏
倍速播放中
0.5倍 0.75倍 1.0倍 1.5倍 2.0倍
超清 流畅
继续观看
【漏洞通告】飞牛系统(fnOS)任意文件读取漏洞
观看更多
转载
,
【漏洞通告】飞牛系统(fnOS)任意文件读取漏洞
常行科技已关注
分享点赞在看
已同步到看一看写下你的评论
视频详情
常行科技是一家专注于网络安全解决方案和运营服务的“专精特新”企业,粤港澳专精特新标杆企业 TOP100,国家级高新技术企业,国家级科技型中小企业,广东省创新型中小企业,立志深耕于网络安全服务领域,是网络安全运营服务PTM理论的首创者。
自建网络安全攻防实验室“大圣·攻防实验室(DS-Lab)”,专注于最新的网络攻防技术研究、安全人才培养、客户环境模拟、安全产品研发、应急演练模拟、安全技术培训等。与鹏城实验室深入合作,共建鹏城靶场常行科技分靶场。大圣·攻防实验室“行者战队”近年来多次参加国内外的实战攻防演练及比赛,并取得优秀战果。
常行科技三大服务体系、六大场景化解决方案多维度为客户提供最适合自身需求的高性价比网络安全解决方案,低成本、高质量地帮助客户解决网络和数据安全相关问题。
有常行,更安全
常为而不置
常行而不休
了解更多咨询请关注公众号
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:常行科技 常行安服团队 常行安服团队《【漏洞通告】飞牛系统(fnOS)任意文件读取漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论