Loading [MathJax]/jax/output/CommonHTML/config.js

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >宝塔面板7.4.3紧急更新（phpmyadmin鉴权漏洞）

宝塔面板7.4.3紧急更新（phpmyadmin鉴权漏洞）

Xcnte

发布于 2021-12-14 03:10:21

发布于 2021-12-14 03:10:21

8350

举报

文章被收录于专栏：Blog记录Blog记录

请注意，本文编写于 477 天前，最后修改于 477 天前，其中某些信息可能已经过时。

今天loc发布了宝塔面板7.4.2的手动更改API鉴权破解方法

该漏洞可以使其他人无需鉴权就能进入数据库改数据或删库

方法发出来2小时后宝塔更新了7.4.3版，称是紧急安全更新

漏洞：

凡是在宝塔面板安装了phpmyadmin数据库管理软件

只要通过对应方法，无需用户名密码即可操作数据库

其中888为默认端口，若自定义端口，便可能是其它端口，可以自行测试有没有该漏洞

影响范围

7.4.2版宝塔面板，安装了phpmyadmin（其它版本不影响）

未安装用户无影响。

解决方法

升级7.4.3即可解决

或通过修改 pma 配置文件，屏蔽对应端口，关闭公共访问权限等方法也可解决

版权属于：Xcnte' s Blog（除特别注明外）
本文链接：https://cloud.tencent.com/developer/article/1918402
本站文章采用知识共享署名4.0 国际许可协议进行许可，请在转载时注明出处及本声明！

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

评论

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

Go 开发者必备：Protocol Buffers 入门指南

10分钟带你彻底搞懂分布式链路跟踪

多租户的 4 种常用方案

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

60页PPT全解：DeepSeek系列论文技术要点整理

宝塔爆出高危漏洞未授权访问phpmyadmin对数据库进行攻击

网站 phpmyadmin php linux windows

2020年8月23日，SINE安全监测中心，监测到宝塔官方发布了漏洞补丁更新，该宝塔漏洞会导致phpmyadmin无需密码就能访问，并且能够对数据库进行增删改查等操作，由于宝塔Linux7.4.2版本和Windows6.8版本存在未授权访问漏洞，很多站长朋友们的网站遭到删库。见到同行因为这一漏洞被删库，搞得悲痛欲绝，吓得站长们赶紧按照BT官方的提示去更新了，有些站长还没等更新完，也遭到了删库。

技术分享达人

2020/08/24

1.6K0

宝塔7.4.2-pma未授权访问漏洞风险

phpmyadmin 网络安全安全 linux windows

宝塔官方表示，7.4.2(Linux)版本的宝塔面板存在未授权访问phpmyAdmin的漏洞，漏洞利用难度为“0”，通过访问ip:888/pma则可无需任何登录操作直接进入phpmyAdmin，所有使用宝塔的站点均可测试是否存在此漏洞（未修改默认端口，安装了phpmyAdmin的均存在可能）；

Mirror王宇阳

2020/11/12

2.3K0

宝塔面板7.4.2及Windows面板6.8数据库鉴权漏洞 – 官方发布紧急安全更新

phpmyadmin tcp/ip windows linux sql

据了解，此次更新是为了修复phpmyadmin未鉴权，可通过特定地址直接登陆数据库的严重Bug。存在安全漏洞的面板据悉为linux面板7.4.2版本，Windows面板6.8版本。（就是宝塔的程序员缓存了phpmyadmin的密码 /pma 未授权访问，前提是你在此之前需要从宝塔面板自动登录过phpmyadmin！！！）

陌涛

2020/08/25

1.6K0

宝塔面板7.4.2及Windows面板6.8数据库鉴权漏洞 – 官方发布紧急安全更新

宝塔面板漏洞可直接登录sql数据库，重大安全事故

linux 网络安全安全 phpmyadmin 数据库

其他人，哪怕没有登录过面板和数据库的，就能直接通过 IP:888/pma 直接登陆你的数据库

wo.

2021/06/15

6.1K0

宝塔面板漏洞可直接登录sql数据库，重大安全事故

宝塔爆出安全漏洞，无需验证直接进入数据库。

安全网络安全数据库 sql

很神奇的是，我几台服务器装了宝塔，版本各不相同，但都是没有这个漏洞，而且我本身用的也是腾讯云的数据库https://pan.lanol.cn/post/377.html

SingYi

2022/07/14

1K0

宝塔爆出安全漏洞，无需验证直接进入数据库。

严重漏洞宝塔7.4.2

phpmyadmin 编程算法数据库 sql 网络安全

讲真，我真的挺庆幸这个BUG能在这个时候被发现，而不是在8月30号以后，也就是我开学了。如果要是在我开学之后发现了这个BUG，我直接裂开来。虽然我平常有做快照的习惯，但是PhpMyAdmin的日志记录我倒是没有开启过。不过也好在我的PhpMyAdmin默认端口不是888 但是如果真要查，端口扫几下就能扫出来了。所以我挺庆幸的。

筱锋xiao_lfeng

2022/03/16

6870

宝塔面板phpMyAdmin未授权访问漏洞是个低级错误吗？

phpmyadmin 网络安全安全 linux http

周日晚，某群里突然发布了一则消息，宝塔面板的phpmyadmin存在未授权访问漏洞的紧急漏洞预警，并给出了一大批存在漏洞的URL：

phith0n

2020/10/15

1.8K0

宝塔面板未授权访问数据库管理界面漏洞复现

安全网络安全 http linux 数据库

宝塔面板是一款服务器管理软件，支持windows和linux系统，可以通过Web端轻松管理服务器，提升运维效率。例如：创建管理网站、FTP、数据库，拥有可视化文件管理器，可视化软件管理器，可视化CPU、内存、流量监控图表，计划任务等功能。

Timeline Sec

2020/09/07

5.4K2

宝塔面板未授权访问数据库管理界面漏洞复现

宝塔严重未知安全性漏洞（宝塔面板或Nginx异常）

异常 nginx 网站漏洞日志

入侵者通过该漏洞拥有root权限，受限于面板高权限运行，修改宝塔各种账号密码+SSH账号密码均为无效。

JanYork_简昀

2024/03/05

1.1K0

宝塔严重未知安全性漏洞（宝塔面板或Nginx异常）

Docker 安装配置宝塔面板

容器镜像服务容器 linux html https

本文主要介绍如何将宝塔面板作为 Docker 容器安装在 Linux 服务器上。其实对于宝塔一开始我是拒绝的，毕竟我之前是可以熟练操作 Linux 服务器的。别提宝塔面板了，就连 lnmp.org 一键安装包我都不用，全程命令行操作无压力。这一切都是从入行前端之后改变了。每次想搞点什么的时候，都要先熟悉一遍命令很耽误事，这时我就想起宝塔来了。Docker 的入门，可以看下我的垃圾文，保证前端也能

用户1250838

2021/05/31

19.5K0

Docker 安装配置宝塔面板

Windows SMBv3 CVE-2020-0796漏洞，堪比永恒之蓝

windows 安全文件存储网络安全

不久，微软公布了在Server Message Block 3.0（SMBv3）中发现的“蠕虫型”预授权远程代码执行漏洞

Xcnte

2021/12/14

1.2K0

Windows SMBv3 CVE-2020-0796漏洞，堪比永恒之蓝

安全通告｜宝塔面板数据库管理未授权访问漏洞风险通告

漏洞扫描服务安全数据库 sql

近日，腾讯云安全运营中心监测到，宝塔面板官方发布通告，披露了一个数据库管理未授权访问漏洞，漏洞被利用可导致数据库管理页面未授权访问。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情宝塔面板存在未授权访问漏洞，利用该漏洞，攻击者可以通过访问特定URL，直接访问到数据库管理页面，从而达到访问数据库数据、获取系统权限、进行危险操作等目的。风险等级高风险漏洞风险攻击者可利用该漏洞访问特定URL，从而直接访问到数据库管理

云鼎实验室

2020/08/25

1.2K0

腾讯云轻量应用服务器安装宝塔面板全流程（详细）

轻量应用服务器

腾讯云轻量应用服务器怎么安装宝塔面板？可以通过应用镜像中的宝塔面板腾讯云专享版一键安装宝塔面板，也可以通过宝塔面板命令脚本手动安装，腾讯云百科来详细说下轻量应用服务器安装宝塔面板的两种方法：

新手站长

2022/10/04

6.9K2

腾讯云轻量应用服务器安装宝塔面板全流程（详细）

安装kangle，让你的服务器服务大家

php 云数据库 SQL Server 数据库 sql tcp/ip

很多人购买了服务器之后无法习惯宝塔的操作界面，而更愿意使用kangle的ep界面。本篇文章就教你如何给自己的服务器安装康乐虚拟主机系统。

何叶

2021/08/24

2.3K0

护卫神主机大师提权漏洞利用分析

iis asp asp.net php 云数据库 SQL Server

护卫神·主机大师支持一键安装网站运行环境（IIS+ASP+ASP.net+PHP5.2-5.6+MySQL+FTP+伪静态+PhpMyAdmin），并可在线开设主机、SQL Server和MySQL；Web方式管理，拥有独立前台和后台面板。支持Windows Server 2008/2012。结合护卫神14年安全防护经验，严格限制每个站点独立权限，彻底阻挡跨站入侵。但这套系统真的像描述的那么安全么？，由于某次安全测试遇到该系统，遂对该系统进行分析。本文记录了分析过程中的一些记录和问题。

FB客服

2018/07/30

2.5K0

护卫神主机大师提权漏洞利用分析

腾讯云服务器如何安装宝塔_服务器宝塔面板是什么

云服务器 nginx https 防火墙网络安全

通过前面一节的过程（https://blog.csdn.net/AnChenliang_1002/article/details/125268556），我们已经申请了腾讯云服务器，下面我们在云服务器上安装宝塔面板。宝塔面板是一款服务器管理软件，用户可以通过Web端轻松管理服务器，提升运维效率。例如：创建管理网站、FTP、数据库，拥有可视化文件管理器，可视化软件管理器，可视化CPU、内存、流量监控图表，计划任务等功能。

全栈程序员站长

2022/11/01

8.3K0

腾讯云服务器如何安装宝塔_服务器宝塔面板是什么

论如何制作一个网站（非静态）

php phpmyadmin wordpress 网站

在初三的寒假，我在各位大佬的帮助下，建立了一个静态的网站（www.gaoice.cf）（但没过几天因为开学面临这中考备考的任务，没时间管理），不过我并不知足，因为那个网站除了发文章，没有其他功能

冰漪叶

2022/10/24

1.3K0

渗透神器Cobalt Strike使用教程

shell powershell 网络安全 java windows

请注意，本文编写于 560 天前，最后修改于 542 天前，其中某些信息可能已经过时。

Xcnte

2021/12/14

2.2K0

渗透神器Cobalt Strike使用教程

宝塔部署java web_除了宝塔面板还有什么

tomcat phpmyadmin java 网站数据库

大家好，我是架构君，一个会写代码吟诗的架构师。今天说一说宝塔部署java web_除了宝塔面板还有什么,希望能够帮助大家进步!!!

Java架构师必看

2022/06/22

1.7K0

宝塔部署java web_除了宝塔面板还有什么

撞库攻击：你重视老密码吗？

黑客网站网络安全安全数据库

一个人在网络上行走，难免要在各种不同的网站上注册不同的账号，而有些你注册过的网站在被黑客入侵并获取数据库之后，黑客会根据你的密码使用习惯生成字典，或直接使用数据库内的密码，去尝试登陆你的其他平台的用户中心，获取你的更多信息。如淘宝、卡盟、JD、各大论坛等网站，都会涉及到你的更多信息。

Xcnte

2021/12/14

1.1K0

相关推荐

宝塔爆出高危漏洞未授权访问phpmyadmin对数据库进行攻击

更多 >

LV.1

这个人很懒，什么都没有留下～

作者相关精选

宝塔BT面板下关闭默认404页面方法

目录

漏洞：

影响范围

解决方法

加入讨论

的问答专区 >

小程故事多0

相关课程

一站式学习中心 >

AI绘画-StableDiffusion图像生成

大模型图像创作引擎

高性能应用服务

微信公众号在线学习平台搭建实践_《硅谷课堂》