关于宝塔7.4.2 phpMyAdmin漏洞复现

今天晚上18点左右，网上爆出宝塔面板phpMyAdmin疑似未经授权访问的漏洞，截止到晚上八点，宝塔官方已经通过各个渠道发送消息，包括短信提醒。

我们也第一时间对漏洞进行了评估，经过仔细评估复现后得出结论，此次漏洞事件等级为高危。

但是不用太过于担心，经过实际测试，漏洞触发需要特定情况下的特定操作。

要同时满足所有条件才会被触发

1. 安装有Mysql服务并安装了phpMyAdmin
2. 近期从面板访问过phpMyAdmin【通过面板安全访问】
3. 仅宝塔Linux面板7.4.2，宝塔Linux面板7.5.14测试版和宝塔Windows面板6.8版本受影响【其他版本均无效】

只要访问过，即使管理员关闭了游览器，登录后的认证信息还是保存在了服务器，这时候访问IP:888/pma便会造成phpMyAdmin的未授权访问。

解决办法，直接升级面板，官方教程：https://www.bt.cn/bbs/thread-54666-1-1.html

网上已经有人开始批量扫描、提权、删库，请尽快升级！