.漏洞摘要
青龙面板 v2.20.1 及以下版本存在多个安全漏洞，这些漏洞组合利用可导致 未授权远程代码执行（Unauthenticated RCE）。 
核心问题是 JWT 签名密钥使用了硬编码的默认值 'whyour-secret'，该值在开源代码中公开可见。攻击者无需任何凭据即可伪造有效的 JWT Token，调用后端 API 向 config.sh 注入恶意 Shell 脚本。由于 config.sh 在每次定时任务执行前被 source 加载，恶意代码得以持久化执行。 
实际攻击中，恶意载荷从外部服务器下载加密货币挖矿程序（.fullgc），在后台运行并消耗大量系统资源（CPU 占用率达 85%-100%）。 
（2026年了，硬编码JWT密钥，太抽象了吧） 
参考链接