关于Linux面板7.4.2及Windows面板6.8紧急安全更新

今天再次发现一个宝塔一个普通性的安全问题，由于本人不太专业，不知道这个问题会不会严重影响宝塔的用户：
问题如下：
在更新PHP版本期间，发现宝塔直接访问了125.88.182.172这个IP来下载执行脚本文件，而不是访问安全可控的域名，网址是：/125.88.182.172:5880/install/0/php.sh，然而这个IP一不是SSL协议，二这个IP反向无法查到download.bt.cn的域名，如果宝塔哪一天由于服务器更换IP（可能不得已）的情况下，这个IP下所有文件均可能被恶意修改，导致被下载到用户服务器中被执行

宝塔用户_hlvhry 发表于 2020-9-16 20:59
今天再次发现一个宝塔一个普通性的安全问题，由于本人不太专业，不知道这个问题会不会严重影响宝塔的用户： ...

请看这个宝塔域名解析更换记录，site.ip138.com/download.bt.cn，一旦IP被换掉，而论坛中存在大量基于IP地址的安装脚本，这个安全可想而知，虽然我不是专业的安全人员，但希望宝塔可以看看这个问题

宝塔用户_hlvhry 发表于 2020-9-16 20:59
今天再次发现一个宝塔一个普通性的安全问题，由于本人不太专业，不知道这个问题会不会严重影响宝塔的用户： ...

要知道这个通过IP下载文件的行为不是用户的主动行为，是用户点击宝塔软件中某个功能而出现的隐藏行为，因此我认为非常危险。这是一个潜在的大风险，一旦出现，宝塔和宝塔用户可能面临巨大损失！