宝塔宝塔面板正式版linux7.4.2、测试版本7.5.15与Windows正式版6.9.0,这三个版本存在严重安全漏洞,须要紧急更新,不知道还有多少小伙伴没有收到通知,还没有更新的赶紧修复吧!
关于漏洞:
为解决用户服务器被通过phpmyadmin提权导致的安全问题,我们在Linux面板7.4.2/Windows面板6.8.0版本中加入了phpmyadmin安全访问模块。原理是通过面板进行访问phpmyadmin,而不是nginx/apache。但因在目录存放时存在一个致命逻辑漏洞,导致nginx/apache也可以访问到专门给面板使用的phpmyadmin目录。我们在做安全审计时将重心放在面板程序中,忽略了除面板外被访问的可能,从而导致了此事件的发生。
受影响机器:
需同时满足以下所有条件1、软件版本为Linux面板7.4.2或者Windows面板6.8.02、开放且未配置