文章总结： 文档披露青龙面板2.20.1版本存在严重鉴权绕过漏洞，攻击者利用路径大小写变形绕过认证实现未授权远程命令执行。该漏洞CVSS评分9.6，利用门槛低且POC已公开。建议相关用户立即排查资产，通过安全组限制访问来源，并参照官方Issue尽快完成修复以避免服务器权限被控。 综合评分： 75 文章分类： 漏洞预警,漏洞分析,WEB安全

【漏洞预警】0day 青龙面板 最新版本 鉴权绕过导致 RCE

原创

安全探索者 安全探索者

安全探索者

2026年3月3日 15:12 广东

↑点击关注，获取更多漏洞预警，技术分享

0x01 组件介绍

        青龙面板是一款支持 Python3、JavaScript、Shell、Typescript 的定时任务管理平台。

fofa语法：product=”青龙-定时任务管理面板”

0x02 漏洞描述    2026年2月，互联网上披露其存在权限绕过漏洞，攻击者可构造恶意请求绕过相关权限认证，攻击者可通过大小写变形路径（如 /API/...）绕过鉴权并命中 /api/... 实际路由，最终形成未授权远程命令执行（RCE）

| | | | | | — | — | — | — | | 漏洞分类 | 未授权远程命令执行 | | | | CVSS 3.1分数 | 9.6 | 漏洞等级 | 严重 | | POC/EXP | 已公开 | 可利用性 | 高 |

0x03 影响版本

青龙面板 2.20.1(其余版本未明确受影响）

| | |

0x04 漏洞验证

目前POC/EXP已经公开（后台留言：青龙面板，获取测试paylaod）

概念性验证，发送数据包，出现下面的即可证明漏洞存在

随机测试了目前公开的大部分版本，大部分都未受影响

0x05 漏洞影响

由于该漏洞影响范围较广，危害较大。通过以上复现过程，我们可以知道该漏洞的利用过程比较简单，且能造成的危害是高危的，可以执行命令，获取服务器权限，企业应该尽快排查是否有使用该组件，并尽快做出对应措施

0x06 修复建议

1.利用安全组设置其仅对可信地址开放

2.参考官方修复方式进行修复

https://github.com/whyour/qinglong/issues/2934

0X07 参考链接

https://github.com/whyour/qinglong/issues/2934

0x08 免责声明

本文所涉及的任何技术、信息或工具，仅供学习和参考之用。 请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响，均由使用者个人承担责任，与本文作者无关。 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明，并承诺遵守相关法律法规和道德规范。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全探索者 安全探索者 安全探索者《【漏洞预警】0day 青龙面板 最新版本 鉴权绕过导致 RCE》