关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

【紧急】宝塔面板(BT.CN)数据库管理爆出严重安全漏洞预警

发布时间:2020-08-20 19:56:22

    紧急安全更新通知,据九迁云了解到攻击者可利用该漏洞,绕过鉴权,通过特定URL直接登陆到phpMyAdmin数据库管理界面,并可获取服务器系统权限,该漏洞已出现批量利用工具,可通过相关工具扫描宝塔端口进行大规模提权。Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患,其他版本无此风险。已发布紧急更新,请所有使用此版本的用户务必升级到最新版,更新方法,登录面板直接升级更新即可,如更新出现问题,可以联系在线客服或工单进行协助处理。


影响版本

    Linux版本 7.4.2版本

    Linux测试版本 7.5.14版本

    Windows版 6.8版本


漏洞修复(升级脚本)

(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行)

curl https://download.bt.cn/install/update_panel.sh|bash

离线升级步骤

1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
2、将升级包上传到服务器中的/root目录
3、解压文件:unzip LinuxPanel-7.4.3.zip
4、切换到升级包目录: cd panel
5、执行升级脚本:bash update.sh
6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel


强烈建议

如果没有使用PHPMyadmin建议关闭服务器888端口,或 开启 管理设置 》 安全设置 开启 密码访问


漏洞复现

检查服务器有没有此漏洞可访问 http://服务器IP:888/pma/  

若有漏洞可直接无需密码访问服务器root权限的MySQL数据库。


/template/Home/Zkeys/PC/Static