宝塔面板特定版本未授权访问漏洞风险通告

  • A+
所属分类:安全漏洞

宝塔 Linux 7.4.2 版本和Windows 6.8版本存在未授权访问漏洞,攻击者可通过访问特定URL直接访问数据库。成功利用此漏洞的攻击者可访问数据库中的数据,也可能进行一些危险操作。鉴于该漏洞影响较大,建议客户尽快升级到最新版本。


漏洞描述


宝塔Linux面板是提升运维效率的服务器管理软件,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能,已获得全球百万用户认可安装。


宝塔 Linux 7.4.2 版本和Windows 6.8版本存在未授权访问漏洞,攻击者可通过访问特定URL直接访问数据库。成功利用此漏洞的攻击者可访问数据库中的数据,也可能进行一些危险操作。


奇安信CERT已成功复现此漏洞,复现截图如下:


宝塔面板特定版本未授权访问漏洞风险通告


鉴于该漏洞影响较大,建议客户尽快升级到最新版本。


影响范围


宝塔Linux 7.4.2版本


宝塔Windows 6.8版本


处置建议


请尽快更新至以下安全版本:


宝塔Linux 7.4.2版本 -> 宝塔Linux正式版 7.4.3


宝塔Linux测试版本7.5.14 -> 宝塔Linux测试版本7.5.15


宝塔Windows 6.8版本 -> 宝塔Windows 正式版6.9.0


更新方法:


登录面板后台,右上角点击更新,弹窗后,点击立即更新。


或者使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):


curl https://download.bt.cn/install/update_panel.sh|bash


离线升级步骤:


1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip


2、将升级包上传到服务器中的/root目录


3、解压文件:unzip LinuxPanel-7.4.3.zip


4、切换到升级包目录:cd panel


5、执行升级脚本:bash update.sh


6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel


更多信息请参考如下链接:


https://mp.weixin.qq.com/s/XSDbyU-5TNzFCrp0sb0qKw


参考资料


[1] https://mp.weixin.qq.com/s/XSDbyU-5TNzFCrp0sb0qKw


时间线


2020年8月23日,奇安信 CERT发布安全风险通告


文章来源:奇安信 CERT


宝塔面板特定版本未授权访问漏洞风险通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: