宝塔 PMA 未授权访问漏洞

2020 年 8 月 23 日，宝塔官方通报了紧急安全更新，处理 phpMyAdmin 未授权访问问题。

关于这次事件，我有一些自己的看法。

由于时间关系，我并没有机会完整追溯这一漏洞，漏洞分析看的是 phith0n 大佬在代码审计上发的宝塔面板 phpMyAdmin 未授权访问漏洞是个低级错误吗？。

不过我认为，这不是目录逻辑错误，而是更加根本的业务逻辑错误。新旧两种访问 PMA 的方式不应该同时被启用，使用了通过面板安全访问的方式，就不应该开放 888 端口，加载中间件。（是不是把 PMA 的 888 端口当成默认配置文件的一部分了）

回到最后，看看官方的《抱歉，我们的锅》，我们还是可以看出官方的用心程度的。尽管出现这样的安全问题是在是令人遗憾，但我相信官方一定会吸取教训，避免类似的事情再次发生。