宝塔:一站式黑客入侵便捷式面板
200+次更新只为漏洞更好外泄,30+人只为齐心协力创造条件,400万小白鼠与你同在。
刚刚宝塔面板紧急发布了一个更新,没有屏蔽888或者修改端口的用户尽快更新宝塔吧。这个漏洞可以使其他人无需鉴权就能进入数据库改数据或者删库!
博主随便测试了一些网站,发现仅有少部分网站存在漏洞。
漏洞仅针对宝塔最新版(7.4.2),该问题无需鉴权可以直接以root身份进入数据库,不像是phpmyadmin自身漏洞,更像是宝塔开发人员自身疏忽导致。
不过这次宝塔官网补救的还算及时,事件第一时间在网络上发酵,很多人应该都已经升级了,目前官方也开始发送短信通知用户了,看来严重程度不低。根据官方发布的7.4.2版本更新时间(2020年7月16日)判断,该问题已存在一月有余。
虽然宝塔给我们带来了众多便利,但是安全无小事,这么低级path,真后门假bug,不敢相信这是一个安装量400万的产品。
套了cdn会安全吗?宝塔默认不禁止https空主机头,也没有端口IP白名单功能,对于宝塔用户来说没有回源白名单套了cdn风险并不会降低。
update:来看看各云厂商的反应,马爸爸还是你马爸爸。