宝塔(BT)面板7.4.2版本出现数据库致命漏洞
# 发现BUG的起因
今天下午看某服务商QQ群的时候,发现了一个致命BUG
竟然可以无密码直接登录BT的PMA,方法就是在bt服务器IP后加上:888/pma
非常恐怖,已经有很多人中招了
某QQ群聊天记录1
某QQ群聊天记录2
# BUG介绍
这个BUG会导致bt面板的pma无需密码,直接进入数据库,从而对站长造成不可逆的损失。
这个漏洞访问数据库,将拥有全部权限,可以删库直接跑路,**建议立即更新修复!**目前BUG按照官方的说法,应该是只有
- Linux的7.4.2版本
- Windows的6.8版本
有这些BUG,如果您的BT是这个版本,请您立即更新!
吓得我赶紧去服务器上看一看是不是,一看还真是
漏洞页面
# 解决方法
解决方法很简单,目前官方已经推送紧急版本7.4.3版本更新BT为最新版即可解决
BT官方更新日志
更新为最新版后,:888/pma 将无法访问,为404页面
# 官方消息
官方目前已经以短信形式推送警告到各位的手机上了,情景快更新吧!、
更新为最新版BT之后,这个BUG就会被修复了