宝塔面板存在未授权访问漏洞，利用该漏洞，攻击者可以通过访问特定URL，直接访问到数据库管理页面，从而达到访问数据库数据、获取系统权限、进行危险操作等目的。

攻击者可利用该漏洞访问特定URL，从而直接访问到数据库管理页面。

宝塔面板 Linux 版本：7.4.2 版本和测试版本 7.5.14

宝塔面板 Windows 版本：6.8 版本

宝塔面板 Linux 版本：7.4.3 版本和测试版本 7.5.15

宝塔面板 Windows 版本：6.9.0 版本

1）官方已发布最新安全版本，检查您的宝塔面板是否在受影响版本范围

2）如受影响，请你选择合理时间进行更新操作，更新到安全版本，避免影响业务。

     更新方法：登录面板后台，右上角点击更新，弹窗后，点击立即更新。

3）或使用升级脚本（注意：优先在面板首页直接点更新，失败的情况下，才使用此命令，且不能在面板自带的 SSH 终端执行）

curl https://download.bt.cn/install/update_panel.sh|bash

4）离线升级步骤：

     1、下载离线升级包：

     2、将升级包上传到服务器中的 /root 目录

     3、解压文件：unzip LinuxPanel-7.4.3.zip

     4、切换到升级包目录：cd panel

     5、执行升级脚本：bash update.sh

     6、删除升级包：

5）请配置安全组，关闭888端口的公网访问，或进行访问限制。

官方公告：

https://www.bt.cn/bbs/thread-54644-1-1.html

本文作者：云鼎实验室

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/139439.html