宝塔面板-未授权访问任意登入

2023-8-4 23:53| 发布者: 逝水年华| 查看: 85939| 评论: 0

摘要: 最新安全更新修复了宝塔面板中的一个高危漏洞，可防止攻击者越权访问数据库和获取服务器权限。请及时升级至最新版本7.4.3，了解更多信息，请查看官方参考链接。

0x01 漏洞简介

2020年8月23日晚间，宝塔官方紧急推送安全更新，修复了一处在7.4.2版本中的高危漏洞，攻击者可利用此漏洞越权访问数据库，甚至获取服务器权限

0x02 漏洞复现

宝塔面板在部署phpmyadmin时，直接部署在http://ip:888/pma/ 路径下，且不需要验证用户名密码直接访问。

http://ip:888/pma
宝塔面板-未授权访问任意登入5599 作者: 来源: 发布时间:2023-8-4 23:53

0x03 影响范围

宝塔7.4.2

0x04 修复方案

将宝塔升级至最新版本7.4.3

0x05 参考链接

https://www.bt.cn/bbs/thread-54644-1-1.html

宝塔面板-未授权访问任意登入119 作者: 来源: 发布时间:2023-8-4 23:53

宝塔面板-未授权访问任意登入1813 作者: 来源: 发布时间:2023-8-4 23:53

推荐阅读

【入门教程】常见的Web漏洞--XSS

【入门教程】常见的Web漏洞--SQL注入

sql注入--入门到进阶

短信验证码安全常见逻辑漏洞

最全常见Web安全漏洞总结及推荐解决方案

常见的Web应用的漏洞总结（原理、危害、防御）

代码审计常见漏洞总结

Web安全漏洞的靶场演示

13 款 Linux 比较实用的工具

xss攻击、绕过最全总结

宝塔面板-未授权访问任意登入9379 作者: 来源: 发布时间:2023-8-4 23:53