宝塔：一站式黑客入侵便捷式面板

200+次更新只为漏洞更好外泄，30+人只为齐心协力创造条件，400万小白鼠与你同在。

刚刚宝塔面板紧急发布了一个更新，没有屏蔽888或者修改端口的用户尽快更新宝塔吧。这个漏洞可以使其他人无需鉴权就能进入数据库改数据或者删库！

博主随便测试了一些网站，发现仅有少部分网站存在漏洞。

漏洞仅针对宝塔最新版(7.4.2)，该问题无需鉴权可以直接以root身份进入数据库，不像是phpmyadmin自身漏洞，更像是宝塔开发人员自身疏忽导致。

不过这次宝塔官网补救的还算及时，事件第一时间在网络上发酵，很多人应该都已经升级了，目前官方也开始发送短信通知用户了，看来严重程度不低。根据官方发布的7.4.2版本更新时间(2020年7月16日)判断，该问题已存在一月有余。

虽然宝塔给我们带来了众多便利，但是安全无小事，这么低级path，真后门假bug，不敢相信这是一个安装量400万的产品。

套了cdn会安全吗？宝塔默认不禁止https空主机头，也没有端口IP白名单功能，对于宝塔用户来说没有回源白名单套了cdn风险并不会降低。

update：来看看各云厂商的反应，马爸爸还是你马爸爸。