宝塔 PMA 未授权访问漏洞
2020 年 8 月 23 日,宝塔官方通报了紧急安全更新,处理 phpMyAdmin 未授权访问问题。
关于这次事件,我有一些自己的看法。
由于时间关系,我并没有机会完整追溯这一漏洞,漏洞分析看的是 phith0n
大佬在代码审计
上发的宝塔面板 phpMyAdmin 未授权访问漏洞是个低级错误吗?。
不过我认为,这不是目录逻辑错误,而是更加根本的业务逻辑错误。新旧两种访问 PMA 的方式不应该同时被启用,使用了通过面板安全访问
的方式,就不应该开放 888 端口,加载中间件。(是不是把 PMA 的 888 端口当成默认配置文件的一部分了)
回到最后,看看官方的《抱歉,我们的锅》,我们还是可以看出官方的用心程度的。尽管出现这样的安全问题是在是令人遗憾,但我相信官方一定会吸取教训,避免类似的事情再次发生。