文章总结： 青龙面板存在高危身份认证绕过漏洞，源于Express框架路由匹配与鉴权逻辑不一致。攻击者利用路径大小写变体绕过认证，重置凭证并执行任意命令导致服务器沦陷。受影响版本低于v2.20.2，建议立即升级至最新版，限制公网访问并配置WAF规则，同时加强日志监控与权限管理以防范风险。 综合评分： 88 文章分类： 漏洞预警,WEB安全,应用安全

【高危漏洞预警】青龙面板身份认证绕过漏洞

cexlife cexlife

飓风网络安全

2026年3月3日 18:28 北京

漏洞描述:

青龙（ԛinɡlоｎɡ）是一款开源的定时任务管理与脚本自动化运行平台支持JаvаSсriрt、Shеll、Pуtｈоn等多种脚本语言,常用于京东签到、自动抢购、数据爬取等场景,其提供Wеb管理界面、RESTful API 接口、脚本上传与执行、环境变量管理等功能,广泛部署于个人服务器、NAS 设备及企业内网环境中,具有较高的用户活跃度和社区支持

该漏洞源于青龙面板存在多个认证绕过漏洞,攻击者可通过路径大小写变体（如/API/替代/арi/）绕过认证访问受保护接口,通过/ореn/uѕеr/init 路径在已初始化的系统上绕过认证并重置用户凭证从而获得未授权访问权限并在服务器上执行任意系统命令,最终完全控制目标设备

攻击场景:

攻击者可通过构造大小写混合的路径请求（如 /Oреn/、/OPEN/、/оPеN/）,利用Express 框架路由匹配不区分大小写但鉴权逻辑仅检查小写路径的缺陷绕过身份验证,直接访问受保护的敏感接口包括系统重置、脚本上传与执行等高危功能。

安全分析:

该漏洞本质是授权逻辑缺陷与输入验证缺失的结合,由于Express框架默认路由匹配不区分大小写,而代码中使用req.path.startsWith(‘/open/’) 进行鉴权跳过判断仅匹配小写路径,导致攻击者可通过大小写混合构造绕过。此漏洞可直接导致未授权访问核心管理接口,进而实现任意脚本上传与执行、系统配置篡改、数据泄露甚至服务器完全沦陷

影响产品:

青龙面板（Qinglong）< v2.20.2

修复建议:

官方已发布安全补丁,请及时更新至最新版本:

青龙面板（Qinɡlоnɡ）＞= v2.20.2

下载地址:

https://github.com/whyour/qinglong/

建议措施:

紧急升级:立即升级青龙面板至修复版本（建议升级至 v2.20.2 或更高版本）

版本检测与排查：

使用自动化脚本扫描内网及公网暴露的青龙面板实例

检查是否运行在<= v2.20.1版本

访问控制加固：

限制青龙面板仅允许内网访问,禁止公网直连

若必须对外开放，应部署 WAF（Web应用防火墙）并配置规则拦截/open/及其变体路径的未授权访问

日志监控：

开启并定期审查青龙面板日志，重点关注 /open/、/api/ 等路径的异常访问行为

最小权限原则：

禁用不必要的管理员账户,使用强密码并启用双因素认证（如支持）

代码审查建议：

对所有涉及鉴权逻辑的中间件代码进行安全审计,避免使用startsWith等不区分大小写的字符串匹配进行安全判断

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife cexlife《【高危漏洞预警】青龙面板身份认证绕过漏洞》