全球主机交流论坛

标题: 宝塔6.X漏洞getshell [打印本页]

作者: 风铃 时间: 2018-11-8 11:17
标题: 宝塔6.X漏洞getshell
https://xz.aliyun.com/t/3177

用过的没用过的赶紧更新最新版本吧，再不更新要被人日透了

作者: hxuf 时间: 2018-11-8 11:19
还在5.9飘过

作者: 我有一个杜甫梦 时间: 2018-11-8 11:19
这也是治理盗版的方法。

哪位大佬能维护下旧版

作者: doing 时间: 2018-11-8 11:23
不大明白啊，必须管理员触发才行？

作者: hostus 时间: 2018-11-8 11:27
一般登录后第一件事就是检查面板是否升级升级了再操作

作者: logic90 时间: 2018-11-8 11:29

doing 发表于 2018-11-8 11:23
不大明白啊，必须管理员触发才行？

有这个漏洞在，只要可以输入验证码，就能发起攻击。
在真正的管理员登录之后，进入到安全页面的时候，会用管理员的身份执行攻击者提前输入的代码。

然后，就被人日透了。。。

作者: 风铃 时间: 2018-11-8 11:29

doing 发表于 2018-11-8 11:23
不大明白啊，必须管理员触发才行？

登录后台，打开安全面板，getshell

作者: 达雅 时间: 2018-11-8 11:33
5.9有问题没，还在5.9

作者: 王者 时间: 2018-11-8 11:40
5.9 的 + 1

作者: lunatic 时间: 2018-11-8 11:44
表示还在5.9

作者: wifitry 时间: 2018-11-8 11:46
最新版已经修复了

作者: tomcb 时间: 2018-11-8 11:48
5.9有没有问题

作者: 童心 时间: 2018-11-8 11:52
同问5.9，后天不能一键升级了

作者: xswy 时间: 2018-11-8 11:53
本帖最后由 xswy 于 2018-11-8 11:54 编辑

改端口。不知道5.9的是否有要输入验证码的地方

作者: gbaoo 时间: 2018-11-8 11:54
看了几遍终于看懂了，简单的说就是，用户密码错误太多会记录在日志上，而且这个日志没有过滤js代码，然后管理员登陆查看日志时，日志存的js代码就生效了

作者: the2ndface 时间: 2018-11-8 11:54
只有一台是6.x今天已经更新了

作者: mulincheng8 时间: 2018-11-8 11:54
提示: 作者被禁止或删除内容自动屏蔽

作者: papawan 时间: 2018-11-8 12:02

mulincheng8 发表于 2018-11-8 11:54
这漏洞也太傻逼了 ... 看来面板什么的一定不能用，还是找个好运维吧

好运维这个价格就不是bt的价了………

作者: 308- 时间: 2018-11-8 12:06
可怕...

作者: 日后再说 时间: 2018-11-8 12:24
表示还在用5.9的版本

作者: loveni 时间: 2018-11-8 13:11
怎么使用

作者: 隔壁的 时间: 2018-11-8 13:18
好可怕，还是用官方主题安全？

作者: mould8 时间: 2018-11-8 16:37
5.9不存在此漏洞，6.0至6.2版本的用户，请升级下。6.0以上，面板登陆带有8位随机的安全目录，所以要猜测到面板地址也是一件困难的事情。

作者: xiaoz 时间: 2018-11-8 19:31
所以说，还是不要用面板。

欢迎光临全球主机交流论坛 (https://loc.010206.xyz/)