BUG利用难度为0,宝塔这次摊上事了

漏洞针对版本:

复现版本.png

需满足以下条件:

  1. 宝塔面板版本7.4.2
  2. 安装了Nginx、mysql、phpmyadmin
  3. 开放端口888

漏洞出处

据小哈的猜想,可能是7.4.2更新的安全访问功能

漏洞出处.png

真是弄巧成拙,复现方式为访问面板ip:888/pma/即可越权管理数据库

越权数据库.png

官方紧急更新:

目前有许多黑客利用此BUG批量扫段爆破数据库,请各位尽早采取措施

官方紧急更新.png

文章目录