1. 漏洞摘要
青龙面板最新版存在一处鉴权绕过漏洞，未认证请求可访问高权限接口，并最终触发命令执行。 
攻击者可通过大小写变形路径（如 /API/...）绕过鉴权并命中 /api/... 实际路由。 
由于 /api/system/command-run 可执行系统命令，最终形成未授权远程命令执行（RCE）。 
2026年2月24日在github已有用户被植入挖矿，26日绿联从应用商店下架青龙面板。 
目前社区反馈项目官方后暂无回应，建议关闭青龙面板的公网访问。 
2. 漏洞分析
back/loaders/express.ts 
path: [...config.apiWhiteList, /^\/(?!api\/).*/]

这里的正则匹配写的有问题，严格匹配了纯小写的api，只要不是 /api/ 开头，就会绕过 JWT 校验，自定义鉴权中间件使用的是req.path.startsWit...