宝塔面板7.4.3紧急更新(phpmyadmin鉴权漏洞)
-
今天loc发布了宝塔面板7.4.2的手动更改API鉴权破解方法。方法发出来2小时宝塔更新了7.4.3版。称是安全更新。大家都误以为是和谐开心版。实际上是发现了一个重大安全漏洞。
漏洞:
凡是在宝塔面板安装了phpmyadmin数据库管理软件。只要打开服务器IPIP:888/pma 。无需用户名密码即可操作数据库。其中888为默认端口,如果自定义后可能是其他端口。可以自测有没有该漏洞。影响范围:
7.4.2版宝塔面板。安装了phpmyadmin。(其他版本不影响)
未安装用户无影响。解决方法:
升级7.4.3即可解决。update:
据loc大佬解释,实际BUG原因是phpmyadmin安全访问模块的原因。在新版中已经暂时取消。