宝塔(BT)面板7.4.2版本出现数据库致命漏洞

# 发现BUG的起因

今天下午看某服务商QQ群的时候,发现了一个致命BUG
竟然可以无密码直接登录BT的PMA,方法就是在bt服务器IP后加上:888/pma
非常恐怖,已经有很多人中招了

某QQ群聊天记录1
某QQ群聊天记录2

# BUG介绍

这个BUG会导致bt面板的pma无需密码,直接进入数据库,从而对站长造成不可逆的损失。
这个漏洞访问数据库,将拥有全部权限,可以删库直接跑路,建议立即更新修复!

目前BUG按照官方的说法,应该是只有
1. Linux的7.4.2版本
2. Windows的6.8版本
有这些BUG,如果您的BT是这个版本,请您立即更新!


吓得我赶紧去服务器上看一看是不是,一看还真是

漏洞页面

# 解决方法

解决方法很简单,目前官方已经推送紧急版本7.4.3版本更新BT为最新版即可解决

BT官方更新日志

更新为最新版后,:888/pma 将无法访问,为404页面


# 官方消息

官方目前已经以短信形式推送警告到各位的手机上了,情景快更新吧!、


更新为最新版BT之后,这个BUG就会被修复了

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Captcha Code