请注意,本文编写于 477 天前,最后修改于 477 天前,其中某些信息可能已经过时。
今天loc发布了宝塔面板7.4.2的手动更改API鉴权破解方法
该漏洞可以使其他人无需鉴权就能进入数据库改数据或删库
方法发出来2小时后宝塔更新了7.4.3版,称是紧急安全更新
漏洞:
凡是在宝塔面板安装了phpmyadmin数据库管理软件
只要通过对应方法,无需用户名密码即可操作数据库
其中888为默认端口,若自定义端口,便可能是其它端口,可以自行测试有没有该漏洞
影响范围
7.4.2版宝塔面板,安装了phpmyadmin(其它版本不影响)
未安装用户无影响。
解决方法
升级7.4.3即可解决
或通过修改 pma 配置文件,屏蔽对应端口,关闭公共访问权限等方法也可解决
版权属于:Xcnte' s Blog(除特别注明外) 本文链接:https://www.xcnte.com/archives/862/ 本站文章采用 知识共享署名4.0 国际许可协议 进行许可,请在转载时注明出处及本声明!