简介：

昨天在外面突然收到一条来自宝塔的紧急更新通知，因为我博客也用的宝塔控制面板，而且版本号刚好是在影响范围内...
马上跑回家更新了控制面板，审计了下相关的日志，还好没有被干.... 然后开始上论坛查看相关的报告。

漏洞影响范围:

宝塔linux面板 7.4.2
宝塔windows面板 6.8

漏洞详情:

ip:888/某个路径
将会导致无须验证直接进入phpmyadmin管理界面。
整个数据库都有被脱库，清空的风险....

随便扫描了某个idc的国外ip段，影响还是蛮大的

其中大部分已经被人删库勒索了，警察叔叔赶紧抓人吧。

修复方法:

更新宝塔控制面板到7.4.3

后记：

安全之路 任重道远
从我挖掘的宝塔初始化漏洞，到xss、csrf导致getshell，当然也看到你们的进步。