欢迎来到7894.cn国外主机测评

赞助合作

导航菜单
首页 » 商家资讯 » 正文

宝塔最新版爆无需鉴权漏洞,官方紧急修复!

宝塔:一站式黑客入侵便捷式面板

200+次更新只为漏洞更好外泄,30+人只为齐心协力创造条件,400万小白鼠与你同在。

宝塔最新版爆无需鉴权漏洞,官方紧急修复!  第1张

刚刚宝塔面板紧急发布了一个更新,没有屏蔽888或者修改端口的用户尽快更新宝塔吧。这个漏洞可以使其他人无需鉴权就能进入数据库改数据或者删库!

博主随便测试了一些网站,发现仅有少部分网站存在漏洞。

宝塔最新版爆无需鉴权漏洞,官方紧急修复!  第2张

漏洞仅针对宝塔最新版(7.4.2),该问题无需鉴权可以直接以root身份进入数据库,不像是phpmyadmin自身漏洞,更像是宝塔开发人员自身疏忽导致。

宝塔最新版爆无需鉴权漏洞,官方紧急修复!  第3张

不过这次宝塔官网补救的还算及时,事件第一时间在网络上发酵,很多人应该都已经升级了,目前官方也开始发送短信通知用户了,看来严重程度不低。根据官方发布的7.4.2版本更新时间(2020年7月16日)判断,该问题已存在一月有余。

宝塔最新版爆无需鉴权漏洞,官方紧急修复!  第4张

虽然宝塔给我们带来了众多便利,但是安全无小事,这么低级path,真后门假bug,不敢相信这是一个安装量400万的产品。

宝塔最新版爆无需鉴权漏洞,官方紧急修复!  第5张

套了cdn会安全吗?宝塔默认不禁止https空主机头,也没有端口IP白名单功能,对于宝塔用户来说没有回源白名单套了cdn风险并不会降低。

 

update:来看看各云厂商的反应,马爸爸还是你马爸爸。

宝塔最新版爆无需鉴权漏洞,官方紧急修复!  第6张

转载请注明:7894国外主机测评 » 宝塔最新版爆无需鉴权漏洞,官方紧急修复!

相关文章

网友评论

加油哦

二维码