请注意,本文编写于 898 天前,最后修改于 898 天前,其中某些信息可能已经过时。
今天loc
发布了宝塔面板7.4.2
的手动更改API
鉴权破解方法
该漏洞可以使其他人无需鉴权就能进入数据库改数据或删库
方法发出来2
小时后宝塔更新了7.4.3
版,称是紧急安全更新
漏洞:
凡是在宝塔面板安装了phpmyadmin
数据库管理软件
只要通过对应方法,无需用户名密码即可操作数据库
其中888
为默认端口,若自定义端口,便可能是其它端口,可以自行测试有没有该漏洞
影响范围
7.4.2
版宝塔面板,安装了phpmyadmin
(其它版本不影响)
未安装用户无影响。
解决方法
升级7.4.3
即可解决
或通过修改 pma
配置文件,屏蔽对应端口,关闭公共访问权限等方法也可解决
版权属于:Xcnte' s Blog(除特别注明外)
本文链接:https://xcnte.com/archives/862/
本站文章采用 知识共享署名4.0 国际许可协议 进行许可,请在转载时注明出处及本声明!
5 comments
滴!访客卡!请上车的乘客系好安全带,现在是:Thu Aug 18 2022 16:11:53 GMT+0800 (中国标准时间)
文章写得好,网站都很吊
咿呀咿
老版本删除掉pma目录其实也可以解决,或者直接删除掉phpmyadmin。
其实数据库做好随时回滚的准备,无需担心被别人搞吧。
其实问题就在于很多网站数据库都没及时备份