今天loc发布了宝塔面板7.4.2的手动更改API鉴权破解方法

该漏洞可以使其他人无需鉴权就能进入数据库改数据或删库

方法发出来2小时后宝塔更新了7.4.3版,称是紧急安全更新

漏洞:

凡是在宝塔面板安装了phpmyadmin数据库管理软件

只要通过对应方法,无需用户名密码即可操作数据库

其中888为默认端口,若自定义端口,便可能是其它端口,可以自行测试有没有该漏洞

影响范围

7.4.2版宝塔面板,安装了phpmyadmin(其它版本不影响)

未安装用户无影响。

解决方法

升级7.4.3即可解决

或通过修改 pma 配置文件,屏蔽对应端口,关闭公共访问权限等方法也可解决

Last modification:August 23rd, 2020 at 06:46 pm
如果觉得我的文章对你有所帮助,请随意赞赏