文章总结： 飞牛NAS早期版本存在严重路径穿越漏洞，可读取敏感文件。建议用户断开远程连接并更新至最新版本，开启双因子认证与修改密码。用户可通过特定POC自查漏洞，利用脚本检测木马，并配置iptables白名单策略限制访问，防止数据泄露及系统被控。 综合评分： 91 文章分类： 漏洞预警,漏洞分析,应急响应,解决方案

飞牛重大安全漏洞

原创

hyang0 hyang0

生有可恋

2026年2月2日 08:27 湖北

飞牛于2026.02.01 发布重要安装更新通知，早期版本存在严重安全漏洞。

https://club.fnnas.com/forum.php?mod=viewthread&tid=53420

原文：

对于小白用户，可以停用 fn 远程连接断网自保，暂时不将nas暴露在互联网上减少攻击。

关掉 fn 连接后，将系统升级到最新版本：

有条件的开启双重验证（登录过程会更繁琐）

登录时除了密码验证还会启用totp认证：

从网络披露的信息这是一个路径穿越漏洞，大家可以在局域网自查一下：

http://<your-nas-ip>:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../etc/passwd

保险起见，还是改下密码，如果文件都泄漏了密码也不安全了。

懂技术的可以自查一下是否被种了木马（ gist 访问需要魔法）：

https://gist.github.com/luodaoyi/3317b3b584ce173bff15d76e7797bcda

这次的漏洞会极大地刺激 fn 用户，无论是否免费，安全是底线。谁敢把全家照片放网上？把自家的数据放在互联网裸奔是非常危险的。

就算数据不重要，nas被中了木马也是非常危险的。大部分nas小白并没有 linux 操作经验，一旦系统感染木马只能格盘。

目前开源软件基本上都有漏洞，这已经是不言而喻的事实。企业内的做法就是防火墙做可信认证，匿名访问一律当入侵看待。最简单的做法就是通过 iptables 做白名单放行。

推荐的 iptables 策略：

iptables -A&nbsp;INPUT&nbsp;-s <your-ip> -j ACCEPTiptables -A&nbsp;INPUT&nbsp;-m state&nbsp;--state&nbsp;RELATED,ESTABLISHED -j ACCEPTiptables -A&nbsp;INPUT&nbsp;-j DROP

目前网上飞牛木马自检脚本比较杂，我汇总一下链接：

• https://club.fnnas.com/forum.php?mod=viewthread&tid=53390

• https://club.fnnas.com/forum.php?mod=viewthread&tid=53230&extra=page%3D1&page=4

• https://club.fnnas.com/forum.php?mod=viewthread&tid=53508

curl -L http://static2.fnnas.com/aptfix/trim-sec -o trim-sec && chmod +x trim-sec && ./trim-sec

目前自检脚本比较混乱，不要轻易尝试，可以让AI读一下脚本内容：

全文完。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：生有可恋 hyang0 hyang0《飞牛重大安全漏洞》