昨天,宝塔爆出了一个惊天大漏洞,存在漏洞的版本号是7.4.2,该版本的宝塔,用户可直接通过phpmyadmin登录获取所有数据库信息,并做任何操作而无需登录密码,危害非常大,官方已经处理补丁,升级到官方最新即可解决。
现象:部分用户直接在宝塔后台点击升级,点击后一直提示升级中,并且长时间升级不成功
解决方法,可使用命令升级解决。
远程SSH登录到服务器,执行命令 bt 然后会显示如下,并根据如图提示操作即可,
注意:宝塔面板版本不一样,可能升级选项的编号也不一样,请仔细查看并正确输入编号,否则后果自负
[root@_I_Love_China ~]# bt
===============宝塔面板命令行==================
(1) 重启面板服务 (8) 改面板端口
(2) 停止面板服务 (9) 清除面板缓存
(3) 启动面板服务 (10) 清除登录限制
(4) 重载面板服务 (11) 取消入口限制
(5) 修改面板密码 (12) 取消域名绑定限制
(6) 修改面板用户名 (13) 取消IP访问限制
(7) 强制修改MySQL密码 (14) 查看面板默认信息
(22) 显示面板错误日志 (15) 清理系统垃圾
(23) 关闭BasicAuth认证 (16) 修复面板(检查错误并更新面板文件到最新版)
(24) 关闭谷歌认证 (17) 设置日志切割是否压缩
(25) 设置是否保存文件历史副本 (18) 设置是否自动备份面板
(0) 取消
===============================================
请输入命令编号:16