关注商家前沿资讯

宝塔最新版爆无需鉴权漏洞,官方紧急修复!

宝塔:一站式黑客入侵便捷式面板

200+次更新只为漏洞更好外泄,30+人只为齐心协力创造条件,400万小白鼠与你同在。

刚刚宝塔面板紧急发布了一个更新,没有屏蔽888或者修改端口的用户尽快更新宝塔吧。这个漏洞可以使其他人无需鉴权就能进入数据库改数据或者删库!

博主随便测试了一些网站,发现仅有少部分网站存在漏洞。

漏洞仅针对宝塔最新版(7.4.2),该问题无需鉴权可以直接以root身份进入数据库,不像是phpmyadmin自身漏洞,更像是宝塔开发人员自身疏忽导致。

不过这次宝塔官网补救的还算及时,事件第一时间在网络上发酵,很多人应该都已经升级了,目前官方也开始发送短信通知用户了,看来严重程度不低。根据官方发布的7.4.2版本更新时间(2020年7月16日)判断,该问题已存在一月有余。

虽然宝塔给我们带来了众多便利,但是安全无小事,这么低级path,真后门假bug,不敢相信这是一个安装量400万的产品。

套了cdn会安全吗?宝塔默认不禁止https空主机头,也没有端口IP白名单功能,对于宝塔用户来说没有回源白名单套了cdn风险并不会降低。

 

update:来看看各云厂商的反应,马爸爸还是你马爸爸。

赞(1)
未经允许不得转载:主机资讯-VPS商家前沿资讯 » 宝塔最新版爆无需鉴权漏洞,官方紧急修复!

评论 1

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #1

    LZ怎么没有新帖了

    navy 2个月前 (09-01) 谷歌浏览器 Windows 10 回复