近日,国家信息安全漏洞库(CNNVD)收到关于宝塔服务器运维面板权限许可和访问控制漏洞(CNNVD-202008-1141)情况的报送。成功利用漏洞的攻击者可以在无需管理员授权的情况下进入数据库修改或删除数据,并且可以通过互联网远程访问管理页面,获取服务器系统权限,最终控制目标服务器。宝塔面板Linux版7.4.2版、宝塔面板Linux版7.5.14测试版、宝塔面板Windows版6.8版均受此漏洞影响。目前,宝塔服务器运维面板官方已经发布了补丁修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、漏洞介绍
宝塔服务器运维面板是百塔网络科技有限公司旗下一款服务器管理软件,百塔网络科技有限公司是一个专门从事服务器相关软件及服务研发的公司。
攻击者可通过远程访问特定路径,在未授权的情况下,直接进入phpmyadmin数据库管理页面,以此获取服务器系统权限。
二、危害影响
成功利用漏洞的攻击者可以在无需管理员授权的情况下进入数据库修改或删除数据,并且可以通过互联网远程访问管理页面,获取服务器系统权限,最终控制目标服务器。宝塔面板Linux版7.4.2版、宝塔面板Linux版7.5.14测试版、宝塔面板Windows版6.8版均受此漏洞影响。
三、修复建议
目前,宝塔服务器运维面板官方已经发布了补丁修复了漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
本通报由CNNVD技术支撑单位——知道创宇404实验室、北京华顺信安信息技术有限公司、远江盛邦(北京)网络安全科技股份有限公司、北京山石网科信息技术有限公司科、内蒙古奥创科技有限公司、安天网络安全技术有限公司等技术支撑单位提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: cnnvd@itsec.gov.cn