https://github.com/qbittorrent/qBittorrent/issues/18618
据 issue ,知名 BT 下载软件 qBittorrent* 的 4.5.0/4.5.1 版本出现了路径穿越漏洞,可导致攻击者通过已经启用的 WebUI 任意下载宿主机上的文件,建议慎重升级,并在修复版本发布之前降级到 v4.4.5 以下。
*此漏洞与反斜杠相关,看上去只影响 Windows 版本。
**把安全漏洞细节直接发在 issue 上并不是什么好主意,所以警惕随之而来的扫描。建议套一层 nginx 以启用基于 basic auth 的密码验证。
***一些响应快的 PT 站已经 ban 掉了这个客户端版本,所以就算是 Linux 也建议绕着走。
据 issue ,知名 BT 下载软件 qBittorrent* 的 4.5.0/4.5.1 版本出现了路径穿越漏洞,可导致攻击者通过已经启用的 WebUI 任意下载宿主机上的文件,建议慎重升级,并在修复版本发布之前降级到 v4.4.5 以下。
*此漏洞与反斜杠相关,看上去只影响 Windows 版本。
**把安全漏洞细节直接发在 issue 上并不是什么好主意,所以警惕随之而来的扫描。建议套一层 nginx 以启用基于 basic auth 的密码验证。
***一些响应快的 PT 站已经 ban 掉了这个客户端版本,所以就算是 Linux 也建议绕着走。
