国家漏洞库CNNVD：关于宝塔服务器运维面板权限许可和访问控制漏洞情况的通报

发布时间:2020-08-24 19:36:42    浏览次数:1101     来源:CNNVD安全动态

近日，国家信息安全漏洞库（CNNVD）收到关于宝塔服务器运维面板权限许可和访问控制漏洞（CNNVD-202008-1141）情况的报送。成功利用漏洞的攻击者可以在无需管理员授权的情况下进入数据库修改或删除数据，并且可以通过互联网远程访问管理页面，获取服务器系统权限，最终控制目标服务器。宝塔面板Linux版7.4.2版、宝塔面板Linux版7.5.14测试版、宝塔面板Windows版6.8版均受此漏洞影响。目前，宝塔服务器运维面板官方已经发布了补丁修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、漏洞介绍

宝塔服务器运维面板是百塔网络科技有限公司旗下一款服务器管理软件，百塔网络科技有限公司是一个专门从事服务器相关软件及服务研发的公司。

攻击者可通过远程访问特定路径，在未授权的情况下，直接进入phpmyadmin数据库管理页面，以此获取服务器系统权限。

二、危害影响

成功利用漏洞的攻击者可以在无需管理员授权的情况下进入数据库修改或删除数据，并且可以通过互联网远程访问管理页面，获取服务器系统权限，最终控制目标服务器。宝塔面板Linux版7.4.2版、宝塔面板Linux版7.5.14测试版、宝塔面板Windows版6.8版均受此漏洞影响。

三、修复建议

目前，宝塔服务器运维面板官方已经发布了补丁修复了漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。安全更新公告如下：

https://www.bt.cn/bbs/thread-54666-1-1.html

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。

联系方式:cnnvd@itsec.gov.cn