宝塔面板-未授权访问任意登入
2022-8-21 09:9:48 Author: 编码安全研究(查看原文) 阅读量:77 收藏

0x01 漏洞简介

2020年8月23日晚间,宝塔官方紧急推送安全更新,修复了一处在7.4.2版本中的高危漏洞,攻击者可利用此漏洞越权访问数据库,甚至获取服务器权限

0x02 漏洞复现

宝塔面板在部署phpmyadmin时,直接部署在http://ip:888/pma/ 路径下,且不需要验证用户名密码直接访问

http://ip:888/pma


0x03 影响范围

宝塔7.4.2

0x04 修复方案

将宝塔升级至最新版本7.4.3

0x05 参考链接

https://www.bt.cn/bbs/thread-54644-1-1.html

推荐阅读   

【入门教程】常见的Web漏洞--XSS

【入门教程】常见的Web漏洞--SQL注入

sql注入--入门到进阶

短信验证码安全常见逻辑漏洞

最全常见Web安全漏洞总结及推荐解决方案

常见的Web应用的漏洞总结(原理、危害、防御)

代码审计常见漏洞总结

Web安全漏洞的靶场演示

13 款 Linux 比较实用的工具

xss攻击、绕过最全总结

   学习更多技术,关注我:   

觉得文章不错给点个‘再看’吧

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDY1MDc2Mg==&mid=2247493736&idx=2&sn=9df904e2035cdaff18e33112b270937d&chksm=ce64bb0df913321bde7e1692bacdafc4f9d636d60e25ee5e0e73e347006240806273c7dccc48#rd
如有侵权请联系:admin#unsafe.sh