0x00:影响范围
宝塔linux面板 7.4.2
宝塔windows面板 6.8
0x01:漏洞描叙
ip:888/pma
可以直接进入数据库,跳过验证操作数据库,从而拿到整站数据
0x02:漏洞点
宝塔<7.4.3 pma漏洞
/LinuxPanel-7.4.2/panel/class/common.py
7.4.3新增代码dirPath = '/www/server/phpmyadmin/pma' if os.path.exists(dirPath): public.ExecShell("rm -rf {}".format(dirPath)
LinuxPanel-7.4.2/panel/class/jobs.pypublic.ExecShell("rm -rf /www/server/phpmyadmin/pma")
0x03修复建议
升级到宝塔最新版(7.4.3)
原文始发于微信公众号(洛米唯熊):最新宝塔服务器面板漏洞
![[单曲] 常艾非《刺心》,心不再坚韧一碰就破损...-微慑信息网-VulSee.com](http://bbsimg.qianlong.com/upload/00/83/60/02/836002_1154361175421.gif)
![[八卦] 王婷婷—揭秘一个大三女生的性爱录像-微慑信息网-VulSee.com](http://free.86hy.com/crack/pic/1.jpg)
![[随笔]今天国际警察节-微慑信息网-VulSee.com](http://photo.sohu.com/20041017/Img222528326.jpg)
青云网
