宝塔 未授权访问漏洞

0x01 介绍

宝塔8.23日发布紧急更新提示。

image-20200823200953264

0x02 影响范围

宝塔linux面板 < 7.4.2

宝塔windows面板 < 6.8

并且安装了phpmyadmin

0x03:漏洞详情

phpmyadmin没有加权限,直接未授权访问,直接查询数据库,从而拿到整站数据

利用:

ip:888/pma

image-20200824011026545

0x04 修复建议

  • 升级到宝塔最新版