2026年2月9日至10日,百度云防护WAF内置规则库完成开年首次大规模升级,新增及优化958条虚拟补丁规则,重点推出12个核心规则ID(4181-4192),覆盖Microsoft Exchange、Apache Struts2、Shiro、Kibana、VMware、宝塔面板等近期活跃攻击面。本文逐条拆解这12条规则的漏洞原理、真实危害及WAF拦截机制。
一、 更新概览:12条核心规则,条条致命
本次更新的12条核心规则(规则ID 4181~4192)具有以下特点:
- 高危占比100%:除4187为中风险外,其余11条均为高风险;
- 漏洞均已公开武器化:所有漏洞均有成熟利用工具,黑客扫描行为日均上万次;
- 虚拟补丁即时生效:无需重启、无需升级业务代码,开启WAF即可拦截。
| 规则ID | 漏洞/攻击类型 | 风险等级 | 受影响组件 |
|---|---|---|---|
| 4181 | Struts2 S2-061 远程命令执行 | 高危 | Apache Struts2 |
| 4182 | Microsoft Exchange ProxyLogon 权限绕过 | 高危 | Exchange Server |
| 4183 | 宝塔面板phpMyAdmin未授权访问 | 中危 | 宝塔面板 |
| 4184 | Apache Airflow 命令注入 | 高危 | Apache Airflow |
| 4185 | VMware Aria Operations for Networks 命令注入 | 高危 | VMware Aria Ops |
| 4186 | Kibana 原型链污染RCE (CVE-2019-7609) | 高危 | Kibana |
| 4187 | ThinkPHP Debug模式文件读取 | 中危 | ThinkPHP |
| 4188 | Apache Shiro 反序列化RCE (CVE-2016-4437) | 高危 | Apache Shiro |
| 4189 | Struts2 S2-045 远程代码执行 (CVE-2017-5638) | 高危 | Apache Struts2 |
| 4190 | Microsoft Exchange ProxyShell 代码执行 (CVE-2021-34473) | 高危 | Exchange Server |
| 4191 | Microsoft Exchange ProxyShell 权限绕过 | 高危 | Exchange Server |
| 4192 | 通用扫描器特征检测 | 高危 | 所有Web应用 |
二、 12大规则深度解析:漏洞原理、危害与拦截特征
1. 规则4181:Struts2 S2-061 远程命令执行(CVE-2020-17530)
规则名称:Cmd_exec.CVE-2020-17530.A
风险等级:高风险
漏洞简介:
Apache Struts2 2.5.0~2.5.25版本中,若启用了struts.devMode调试模式,攻击者可通过构造恶意的OGNL表达式在请求参数中实现远程代码执行。该漏洞是对S2-059补丁的绕过,利用门槛极低。
真实危害:
2020年底爆发后,全球超过30%的Struts2应用受影响,多家财富500强企业因此沦陷。攻击者可借此完全控制服务器,植入勒索软件或挖矿木马。
WAF拦截特征:
检测请求参数及Header中携带的OGNL表达式特征(如%{...}、#context等关键字)。
2. 规则4182:Microsoft Exchange ProxyLogon 权限绕过(CVE-2021-26855)
规则名称:Privilege_bypass.CVE-2021-26855.A
风险等级:高风险
漏洞简介:
未经身份验证的攻击者通过发送特定HTTPS请求到Exchange服务器,可绕过权限认证,伪造任意用户身份访问内部API。常与后续SSRF漏洞组合实现RCE。
真实危害:
2021年爆发的ProxyLogon漏洞链导致全球数十万台Exchange服务器被攻破,黑客窃取邮件数据、部署勒索软件(如Black Kingdom),损失惨重。至今仍有大量未修复实例。
WAF拦截特征:
精准匹配/ecp/、/ews/等Exchange目录下的异常请求,阻断利用X-Rps-CAT等Header的SSRF尝试。
3. 规则4183:宝塔面板phpMyAdmin未授权访问(bt_pma_unauth)
规则名称:Privilege_bypass.bt_pma_unauth
风险等级:中风险(但组合利用危害极大)
漏洞简介:
部分宝塔面板版本对/pma(phpMyAdmin)路径未做严格访问控制,导致攻击者可直接访问数据库管理界面,进而拖库、篡改数据、植入Webshell。
真实危害:
该漏洞是个人站长被黑的首要原因之一,每年因未授权pma导致的网站篡改、勒索事件数以万计。
WAF拦截特征:
阻断非授权IP对/pma、/phpmyadmin_*等路径的直接访问,并检测特定登录绕过特征。
4. 规则4184:Apache Airflow 命令注入(CVE-2020-11978)
规则名称:Injection.CVE-2020-11978.A
风险等级:高风险
漏洞简介:
Apache Airflow 1.10.10及之前版本中,默认启用的示例DAG(example_trigger_controller_dag)存在OS命令注入漏洞。攻击者通过控制DAG的conf参数,可在Airflow worker节点执行任意系统命令。
真实危害:
Airflow广泛用于数据管道编排,被攻破后不仅导致集群失陷,还可能泄露敏感数据任务配置。
WAF拦截特征:
检测/admin/airflow/路径下携带恶意命令的conf参数。
5. 规则4185:VMware Aria Operations for Networks 命令注入(CVE-2023-20887)
规则名称:Injection.CVE-2023-20887.A
风险等级:高风险
漏洞简介:
VMware Aria Operations for Networks(原vRealize Network Insight)6.x版本中,未认证的攻击者可向特定接口发送特制请求,以root权限执行任意命令。
真实危害:
该组件常部署于企业网络核心,负责网络流量分析。一旦沦陷,攻击者可横向渗透整个数据中心。
WAF拦截特征:
匹配命令注入特征,如;、|、$()等拼接符在请求参数中的异常使用。
6. 规则4186:Kibana 原型链污染RCE(CVE-2019-7609)
规则名称:Code_exec.CVE-2019-7609.A
风险等级:高风险
漏洞简介:
Kibana 5.6.15~6.6.1版本中,Timelion可视化功能存在原型链污染漏洞。攻击者通过构造包含__proto__的恶意JSON,向JavaScript原型对象添加属性,进而执行任意命令。
真实危害:
ELK栈用户量巨大,该漏洞允许攻击者直接获取Kibana服务器控制权,并可能横向访问Elasticsearch集群。
WAF拦截特征:
检测请求体中的__proto__、constructor.prototype等原型链污染关键字,并阻断命令执行回连流量。
7. 规则4187:ThinkPHP Debug模式文件读取(thinkphp_debug)
规则名称:File_access.thinkphp_debug...
风险等级:中风险
漏洞简介:
当ThinkPHP开启Debug模式且未限制访问IP时,攻击者可直接访问/runtime/log/目录下的日志文件,获取数据库连接信息、SQL语句、部分源码等敏感信息。
真实危害:
常被攻击者作为信息搜集跳板,结合其他漏洞完成最终入侵。
WAF拦截特征:
阻断对/runtime/log/、/data/log/等常见日志路径的访问,并匹配日志文件扩展名(.log)。
8. 规则4188:Apache Shiro 反序列化RCE(CVE-2016-4437)
规则名称:Code_exec.CVE-2016-4437.A
风险等级:高风险
漏洞简介:
Apache Shiro 1.2.4及之前版本中,RememberMe功能默认使用硬编码AES密钥,攻击者可构造恶意序列化对象,经AES加密后置于Cookie中,触发Java反序列化漏洞,实现远程代码执行。
真实危害:
该漏洞是Java应用最经典的“通杀”漏洞,几乎所有使用Shiro且未更新密钥的应用均受影响。APT组织及勒索团伙长期利用此漏洞进行内网渗透。
WAF拦截特征:
检测Cookie: rememberMe字段中的超长Base64值及反序列化攻击特征(如aced0005等Java序列化头部)。
9. 规则4189:Struts2 S2-045 远程代码执行(CVE-2017-5638)
规则名称:Code_exec.CVE-2017-5638.A
风险等级:高风险
漏洞简介:
Apache Struts2 2.3.5~2.3.31、2.5~2.5.10版本中,Jakarta Multipart解析器处理文件上传时,攻击者可在Content-Type头中注入OGNL表达式,直接执行任意代码。无需开启任何插件。
真实危害:
该漏洞是Equifax数据泄露事件的罪魁祸首,全球超过50%的Struts2应用曾受影响。
WAF拦截特征:
匹配Content-Type头中的OGNL表达式特征,如%{、#_memberAccess等。
10. 规则4190:Microsoft Exchange ProxyShell 代码执行(CVE-2021-34473)
规则名称:Code_exec.CVE-2018-1177...(命名规则显示CVE-2018-1177,但描述为ProxyShell)
风险等级:高风险
漏洞简介:
ProxyShell是三个漏洞的利用链(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207),攻击者无需认证即可通过特定URI绕过Exchange Autodiscover授权,进而执行任意代码。
真实危害:
2021年8月,ProxyShell攻击大规模爆发,数十万Exchange服务器被植入Webshell,后续勒索软件攻击激增。
WAF拦截特征:
检测对/autodiscover/autodiscover.json等路径的异常请求,及特定参数构造。
11. 规则4191:Microsoft Exchange ProxyShell 权限绕过
规则名称:Privilege_bypass.CVE-2021...
风险等级:高风险
漏洞简介:
作为ProxyShell链的一环,该漏洞允许攻击者在无需凭据的情况下提升至系统权限,配合4190完成RCE。
WAF拦截特征:
阻断权限绕过阶段的特征请求,如X-Common-Version等特殊Header。
12. 规则4192:通用扫描器特征检测(Code_exec.Scanner.A)
规则名称:Code_exec.Scanner.A
风险等级:高风险
规则价值:
本次更新的王牌规则。通过分析请求的User-Agent、参数格式、请求频率等组合特征,精准识别Nessus、AWVS、OpenVAS、nuclei、Xray等自动化扫描器行为。
站长收益:
无需等待特定漏洞规则,从源头阻断黑客的信息搜集和资产探测,大幅降低被攻击面。
WAF拦截特征:
内置数百种扫描器指纹库,结合行为分析动态判定。
三、 为什么这次更新是站长必看的“救命补丁”?
- 旧漏洞仍广泛存活:Shiro、Struts2、宝塔面板等组件大量存在于生产环境,多数管理员未及时修复,虚拟补丁是唯一的救命稻草。
- 新漏洞利用门槛极低:VMware CVE-2023-20887、Airflow CVE-2020-11978等均已有公开的Metasploit模块,攻击自动化程度极高。
- 扫描器每天都在扫你:规则4192直接掐断攻击链的最前端,让黑客连“踩点”的机会都没有。
四、 三步快速启用百度云防护WAF最新规则
- 登录百度云防护控制台 → WEB防护 → Web基础防护
✅ 确认规则列表已出现ID 4181~4192,更新时间显示2026-02-10。 - 设置防护模式:
- 高风险规则(4181、4182、4184、4185、4186、4188、4189、4190、4191、4192)建议设为拦截;
- 中风险规则(4183、4187)建议设为观察,并根据误报情况调整为拦截。
- 绑定防护域名:确保所有对外服务的站点均已接入WAF实例。
五、 主机吧增值服务:让WAF规则发挥100%效能
作为百度云防护官方深度合作伙伴,主机吧为您提供:
- 免费安全体检:由专业安全工程师为您梳理当前资产暴露面,优先启用本次更新的关键规则;
- 攻击日志分析:针对WAF拦截记录,提供攻击溯源报告,识别已发生的试探行为;
- 策略调优服务:根据业务特性定制规则阈值,最大限度降低误报;
- 7×24小时应急响应:一旦出现漏洞利用事件,15分钟内介入处置。
漏洞永远不会消失,但防护可以跑在攻击前面。 百度云防护2月更新的12条核心规则,条条指向当前最活跃的攻击武器。立即检查您的WAF规则库,确保这些规则已生效——黑客不会等你,但WAF可以挡住他。
主机吧 —— 百度云防护官方合作伙伴
提供WAF接入、安全加固、高防CDN、SSL证书一站式服务。
限时福利:通过主机吧首次接入百度云防护WAF,享5折优惠+专家配置指导。
立即咨询:获取您的专属安全评估报告。
