宝塔面板7.4.2及Windows面板6.8数据库鉴权漏洞 – 官方发布紧急安全更新

据了解，此次更新是为了修复phpmyadmin未鉴权，可通过特定地址直接登陆数据库的严重bug。存在安全漏洞的面板据悉为linux面板7.4.2版本，windows面板6.8版本。（就是宝塔的程序员缓存了phpmyadmin的密码  /pma 未授权访问，前提是你在此之前需要从宝塔面板自动登录过phpmyadmin！！！）

攻击者可以在几秒钟之内入侵服务器，并快速的删除整个服务器数据库，通过SQL提权的方式，拿到服务器所有权。攻击者通过扫描工具，批量扫描获取权限，所以千万要重视。

目前宝塔官方已经出了最新的补丁， 大家升级到最新版本即可。

请首先看看：IP:888/pma  可否进入数据库管理

注意：如果打了补丁之后，还是不放心，可以删除phpmyadmin!!!，关闭888端口。

进入宝塔网站日志：

/www/wwwlogs/access.log

搜索"服务器IP:888/”

比如：

"8.8.8.8:888/"

每一行最开始 显示了哪个IP访问的，

然后剃掉你自己的IP（记不住的话，查地理位置，如果是异地就说明不是你了）

感觉很早就有人在扫了，所以这个问题不要不在意，赶紧升级最新版本，或者先删除phpmydadmin

库宝AI

库宝AI是一款功能多样的智能伙伴助手，涵盖AI写作辅助、智能设计、图像生成、智能对话等多个方面。

109

查看详情

本次漏洞可以通过批量扫888端口（宝塔默认端口），然后通过PMA的默认URL，Post  SQL命令即可完成执行。即： 无鉴权通过特定地址直接进PMA管理数据库。

以下内容转载宝塔：https://www.bt.cn/bbs/thread-54666-1-1.html

此次更新为紧急安全更新，请Liunx版本7.4.2版本和windows版6.8版本的用户务必更新到最新版（其他版本不受影响），更新方法登录面板，首页右上角点击更新即可，如若更新失败，请尝试修复面板或者联系客服大炮QQ2839983100，河妖QQ272656462反馈。

宝塔linux 测试版本7.5.15 （安全版本）

宝塔linux 正式版 7.4.3 （安全版本）

此次更新为紧急安全更新，请7.4.2的用户务必更新到最新版

登录面板后台，右上角点击更新，弹窗后，点击立即更新

<code class="javascript">curl https://download.bt.cn/install/update_panel.sh|bash</code>

<code class="javascript">1、下载离线升级包：http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip2、将升级包上传到服务器中的/root目录3、解压文件：unzip LinuxPanel-7.4.3.zip4、切换到升级包目录：cd panel5、执行升级脚本：bash update.sh6、删除升级包：cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel</code>

Windows 正式版6.9.0 （安全版本）

此次更新为紧急安全更新，请6.8版本的用户务必更新到最新版。

值得注意的是，这个超高危漏洞，也就是7.4.2版本更新时间已经将近一个月。

所以，可以肯定的是，目前只是爆发出来，截至爆发时间前的一个月，很多网站可能已经被入侵并通过SQL完成了提权。

以上就是宝塔面板7.4.2及Windows面板6.8数据库鉴权漏洞 – 官方发布紧急安全更新的详细内容，更多请关注php中文网其它相关文章！