漏洞描述

8月23日宝塔面板官方发布安全更新，修复了一处高危漏洞。攻击者可利用该漏洞，绕过鉴权，通过特定URL直接登陆到phpMyAdmin数据库管理界面，并可获取服务器系统权限，该漏洞已出现批量利用工具，可通过相关工具扫描宝塔端口进行大规模提权。666云应急响应中心提醒，宝塔面板用户应尽快采取升级面板和备份数据等措施避免安全风险！

影响版本范围

Linux版本 7.4.2版本

Linux测试版本 7.5.14版本

Windows版 6.8版本

更早期的版本是否有影响？

宝塔面板的大部分版本更新都是在安全上改进，旧版本请尽快升级，避免出现更多漏洞问题！！！

安全建议

为避免因不可预知风险导致地数据安全隐患，推荐使用云帮手进行服务器批量化安全管理，云帮手具备多项安全特性，有效抵御风险：

1.安全巡检，采用云端检测技术，对服务器安全配置进行全面、高效的基线检查，有效防御未知威胁；

2.安全防护，基于驱动级的文件主动防御，从源头杜绝木马病毒侵害，另有网络连接管控、端口防护、IP黑白名单等安全措施，有效防御入侵；

3.站点一键搭建，数据库自动备份到私有云盘；

4.实时主机监控，CPU、内存、磁盘、网络监控及告警；

5.环境管理，一键LAMP/LNMP/FTP/PHP/.NET等服务器常用环境搭建。

云帮手产品下载：https://www.cloudx.cn/

为防止用户损失进一步扩大，666云已临时将phpMyAdmin默认端口888进行了屏蔽（不保证完全有效），宝塔面板用户应尽快采取升级面板和备份数据等措施避免安全风险！

更新方法：

登录面板后台，右上角点击更新，弹窗后，点击立即更新

或者使用升级脚本（注意：优先在面板首页直接点更新，失败的情况下，才使用此命令，且不能在面板自带的SSH终端执行）：

1.curl https://download.bt.cn/install/update_panel.sh|bash

复制代码

离线升级步骤：

1、下载离线升级包：http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip

2、将升级包上传到服务器中的/root目录

3、解压文件：unzip LinuxPanel-7.4.3.zip

4、切换到升级包目录：cd panel

5、执行升级脚本：bash update.sh

6、删除升级包：cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

Windows版本6.8版本的用户更新到以下版本

Windows 正式版6.9.0 （安全版本）