宝塔面板特定版本未授权访问漏洞风险通告

admin 2020年8月24日11:54:33评论297 views字数 1014阅读3分22秒阅读模式

宝塔 Linux 7.4.2 版本和Windows 6.8版本存在未授权访问漏洞,攻击者可通过访问特定URL直接访问数据库。成功利用此漏洞的攻击者可访问数据库中的数据,也可能进行一些危险操作。鉴于该漏洞影响较大,建议客户尽快升级到最新版本。


漏洞描述


宝塔Linux面板是提升运维效率的服务器管理软件,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能,已获得全球百万用户认可安装。


宝塔 Linux 7.4.2 版本和Windows 6.8版本存在未授权访问漏洞,攻击者可通过访问特定URL直接访问数据库。成功利用此漏洞的攻击者可访问数据库中的数据,也可能进行一些危险操作。


奇安信CERT已成功复现此漏洞,复现截图如下:


宝塔面板特定版本未授权访问漏洞风险通告


鉴于该漏洞影响较大,建议客户尽快升级到最新版本。


影响范围


宝塔Linux 7.4.2版本


宝塔Windows 6.8版本


处置建议


请尽快更新至以下安全版本:


宝塔Linux 7.4.2版本 -> 宝塔Linux正式版 7.4.3


宝塔Linux测试版本7.5.14 -> 宝塔Linux测试版本7.5.15


宝塔Windows 6.8版本 -> 宝塔Windows 正式版6.9.0


更新方法:


登录面板后台,右上角点击更新,弹窗后,点击立即更新。


或者使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):


curl https://download.bt.cn/install/update_panel.sh|bash


离线升级步骤:


1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip


2、将升级包上传到服务器中的/root目录


3、解压文件:unzip LinuxPanel-7.4.3.zip


4、切换到升级包目录:cd panel


5、执行升级脚本:bash update.sh


6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel


更多信息请参考如下链接:


https://mp.weixin.qq.com/s/XSDbyU-5TNzFCrp0sb0qKw


参考资料


[1] https://mp.weixin.qq.com/s/XSDbyU-5TNzFCrp0sb0qKw


时间线


2020年8月23日,奇安信 CERT发布安全风险通告


文章来源:奇安信 CERT


宝塔面板特定版本未授权访问漏洞风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年8月24日11:54:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   宝塔面板特定版本未授权访问漏洞风险通告https://cn-sec.com/archives/100206.html

发表评论

匿名网友 填写信息