漏洞描述

宝塔面板出现严重数据库漏洞，官方发布紧急安全更新。公告要求所有用户升级到最新版本，但未说明安全事件的任何信息。据了解，此次更新是为了修复phpmyadmin未鉴权，可通过特定地址直接登陆数据库的严重Bug。

CVE编号

无

威胁等级

高

影响版本

Linux面板7.4.2/Windows面板6.8(建议全版本进行升级)

修复方案

1 请立刻升级到宝塔最新版
2 关闭888端口

具体修复参考

修复参考一:

查看宝塔页面登录账号密码：
[root@VM-0-11-centos ~]# bt default
==================================================================
BT-Panel default info!
==================================================================
Bt-Panel-URL: http://xxx.24.xx.x0:8888/0308xxxxxx
username: 383838xxx
password: xxx383838
Warning:
If you cannot access the panel, 
release the following port (8888|888|80|443|20|21) in the security group
==================================================================

进行网页登录，然后一键升级。



修复参考二：

升级脚本（注意：优先在面板首页直接点更新，失败的情况下，才使用此命令，且不能在面板自带的SSH终端执行）：
curl https://download.bt.cn/install/update_panel.sh|bash

离线升级:

1、下载离线升级包：http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
2、将升级包上传到服务器中的/root目录
3、解压文件：unzip LinuxPanel-7.4.3.zip
4、切换到升级包目录： cd panel
5、执行升级脚本：bash update.sh
6、删除升级包：cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

官方详情参考地址：https://www.bt.cn/bbs/thread-54644-1-1.html