青龙面板多版本曝出鉴权绕过与远程代码执行漏洞开源任务管理平台青龙面板（Qinglong）存在多项严重安全漏洞，涉及包括最新版 V2.20.1 在内的多个版本

21:16 · Feb 28, 2026 · Sat

科技圈🎗在花频道📮

青龙面板遭挖矿木马植入导致CPU占用达800% 2026年2月7日，多名用户发现青龙面板被植入名为.fullgc的挖矿木马，导致服务器CPU占用率异常升至800%。该木马通过篡改config.sh配置文件实现持久化，并能根据系统架构自动下载恶意程序。排查结果显示，暴露于公网IPv4环境的服务器是该木马的主要攻击目标。安全机构判定该程序属于SusMiner家族，主要通过连接XMR矿池进行非法挖矿。GitHub社区已出现多例相关案例报告，建议用户检查/ql/data/db/路径下的隐藏文件。受影响用户需…

青龙面板多版本曝出鉴权绕过与远程代码执行漏洞

开源任务管理平台青龙面板（Qinglong）存在多项严重安全漏洞，涉及包括最新版 V2.20.1 在内的多个版本。由于 Express 框架路由匹配对大小写不敏感，且 URL 重写逻辑存在缺陷，攻击者可绕过 JWT 鉴权接口重置管理员密码。同时，依赖管理模块在执行安装命令时未对输入进行过滤，导致 shell 指令注入并实现远程代码执行（RCE）。此外，系统还涉及路径穿越风险，允许向服务器写入任意文件。相关漏洞细节现已在包括 GitHub 在内的多个渠道广泛公开。

mrxn.net | Github

🍀在花频道 🍵茶馆聊天 📮投稿

💊 203 🤣 54 ❤️ 4 😁 4 🤬 4 😱 3 👎 1