宝塔存在未授权访问数据库风险
昨天下午就被好友通知宝塔存在漏洞,直接访问IP:888/pma
就可以直接访问数据库,我感觉查看我的宝塔发现没有漏洞,我以为他开玩笑的,结果各大qq群都炸锅了。
漏洞存在版本
BT-Linux:7.4.2
BT-Windows:6.8
存在漏洞原因
宝塔安装直接将密码写入到pma文件夹下面的配置文件导致不需要密码可直接访问数据库,改漏洞利用容易,危害性高,已经有很多用户数据库被删,使用以上含有漏洞的版本尽快升级。
修复方法
- 更新到宝塔7.4.3
- 删除
/www/server/phpmyadmin/pma/
目录 - 关闭
888
端口
原创文章,作者:风雪,如若转载,请注明出处:https://www.61os.com/bt-pma.html
感谢风向