昨天下午就被好友通知宝塔存在漏洞,直接访问IP:888/pma就可以直接访问数据库,我感觉查看我的宝塔发现没有漏洞,我以为他开玩笑的,结果各大qq群都炸锅了。
漏洞存在版本
BT-Linux:7.4.2
BT-Windows:6.8
存在漏洞原因
宝塔安装直接将密码写入到pma文件夹下面的配置文件导致不需要密码可直接访问数据库,改漏洞利用容易,危害性高,已经有很多用户数据库被删,使用以上含有漏洞的版本尽快升级。
修复方法
- 更新到宝塔7.4.3
- 删除
/www/server/phpmyadmin/pma/目录 - 关闭
888端口
本站文章除注明转载/出处外,均为本站原创或翻译,如若转载,请注明出处。