昨日博主收到宝塔发来的短信,也在宝塔QQ群证实,Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患
短信内容如下:
【宝塔面板】紧急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患,其他版本无此风险。已发布紧急更新,请所有使用此版本的用户务必升级到最新版,更新方法,登录面板直接升级更新即可,如更新出现问题,请登录宝塔论坛反馈或者联系客服反馈。
安装了以上版本的宝塔面板服务器,通过 IP:888/pma即可直接进入数据库后台,对数据库进行任何的修改和删除。
数据库未授权访问漏洞,公网无需鉴权直接 root 权限进入 phpmyadmin,经博主实测,就是宝塔面板安装过phpmyadmin的用户出现了问题,可能导致数据泄露或删除,未安装phpmyadmin不受影响。
作为linux面板市场最大占有率的软件商家,这么大的错误实在不应该。
以下是宝塔官方声明:
宝塔正在不断成长中,为此我们会收集用户的反馈与建议,加上我们团队的不断琢磨,将所有收集与发现的信息,加工进宝塔面板里,并固定在每周三发布更新,更新内容包括:BUG修复,稳定性升级,用户体验优化,新功能增加。除了每周三的日常更新以外,当发现关于安全性相关的BUG时,我们会在24小时内修复并立即发布更新,因为宝塔面板是服务器软件,我们对安全性非常关注。
