昨晚8点 宝塔发布官方平台短信 紧急更新

与此同时，宝塔官方发布了宝塔面板7.4.2的手动更改API鉴权破解方法

该漏洞可以使其他人无需鉴权就能进入数据库改数据或删库

宝塔 Linux 面板是提升运维效率的服务器管理软件，支持一键 LAMP / LNMP /集群/监控/网站/ FTP /数据库/ JAVA 等100多项服务器管理功能。目前互联网中已公布相关利用的 POC，建议受影响企事业单位尽快修复。

漏洞：

凡是在宝塔面板安装了phpmyadmin数据库管理软件

只要通过对应方法，无需用户名密码即可操作数据库

其中888为默认端口，若自定义端口，便可能是其它端口，可以自行测试有没有该漏洞

影响范围:

• 宝塔 linux 面板 7.4.2
• 宝塔 windows 面板 6.8
• 安装了 phpmyadmin。（其他版本不影响）

根据目前 FOFA 系统最新数据（一年内数据），显示全球范围内（app="宝塔-Linux控制面板"）共有 2,592,629 个相关服务对外开放。美国使用数量最多，共有 1,279,856 个；中国大陆第二，共有 461,268 个；中国香港第三，共有 401,294 个；南非第四，共有 238,695 个；澳大利亚第五，共有 19,850 个。

解决方案：

直接更新即可

本文固定链接: http://blog.wmphp.com/3368.html | 速光网络博客