安全通告｜宝塔面板数据库管理未授权访问漏洞风险通告

近日，腾讯云安全运营中心监测到，宝塔面板官方发布通告，披露了一个数据库管理未授权访问漏洞，漏洞被利用可导致数据库管理页面未授权访问。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

宝塔面板存在未授权访问漏洞，利用该漏洞，攻击者可以通过访问特定URL，直接访问到数据库管理页面，从而达到访问数据库数据、获取系统权限、进行危险操作等目的。

风险等级

高风险

漏洞风险

攻击者可利用该漏洞访问特定URL，从而直接访问到数据库管理页面。

影响版本

宝塔面板 Linux 版本：7.4.2 版本和测试版本 7.5.14

宝塔面板 Windows 版本：6.8 版本

安全版本

宝塔面板 Linux 版本：7.4.3 版本和测试版本 7.5.15

宝塔面板 Windows 版本：6.9.0 版本

修复建议

1）官方已发布最新安全版本，检查您的宝塔面板是否在受影响版本范围

2）如受影响，请你选择合理时间进行更新操作，更新到安全版本，避免影响业务。

更新方法：登录面板后台，右上角点击更新，弹窗后，点击立即更新。

3）或使用升级脚本（注意：优先在面板首页直接点更新，失败的情况下，才使用此命令，且不能在面板自带的 SSH 终端执行）

curl https://download.bt.cn/install/update_panel.sh|bash

4）离线升级步骤：

     1、下载离线升级包：

http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip

     2、将升级包上传到服务器中的 /root 目录

     3、解压文件：unzip LinuxPanel-7.4.3.zip

     4、切换到升级包目录：cd panel

     5、执行升级脚本：bash update.sh

     6、删除升级包：

cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

5）请配置安全组，关闭888端口的公网访问，或进行访问限制。

腾讯 T-Sec 主机安全（云镜）漏洞库日期 2020-08-23 之后的版本，已支持检测云主机系统是否受宝塔面板未授权漏洞的影响。

腾讯 T-Sec 主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等，关于腾讯 T-Sec 主机安全的更多信息，可参考：

https://cloud.tencent.com/product/cwp

腾讯T-Sec 漏洞扫描服务（Vulnerability Scan Service，VSS）已支持检测全网资产是否存在宝塔面板数据库管理未授权访问漏洞，并提醒相关用户修复。

关于腾讯T-Sec漏洞扫描服务的更多信息，可参考：

https://cloud.tencent.com/product/vss

腾讯T-Sec高级威胁检测系统（御界）规则库日期2020-08-23之后的版本，已支持对宝塔面板数据库管理未授权访问漏洞的攻击检测。

漏洞参考

官方公告：

https://www.bt.cn/bbs/thread-54644-1-1.html

更多精彩内容点击下方扫码关注哦~

   云鼎实验室视频号

  一分钟走进趣味科技

     -扫码关注我们-

 云鼎实验室互动星球

 一个多元的科技社交圈

  -扫码关注我们-

关注云鼎实验室，获取更多安全情报