【已回应】宝塔Windows-web控制面板存在严重的安全漏洞

凡人点评：

宝塔Windows-web控制面板存在严重的安全漏洞

漏洞描述：只要用户在访问某个网站时，网站里面存在$_SESSION['id']，直接域名后面加上888就直接访问后台无需验证

修复方案，删除Windows下的控制面板代码。盘符:\BtSoft\WebSoft\wwwroot\default

朱启军 · 发表于 2018-2-23 17:38:05

那个文件可以删除吗，好像是安装的文件吧

沐沐 · 发表于 2018-2-24 09:41:29

1、所有未解析到该服务器的域名，都可以使用域名+888进行访问是正常的，如果不需要，则自己后台配置绑定域名
2、web控制面板从未使用$_SESSION['id']作为登录id，报漏洞前请自己查看代码先，谢谢
3、web面板的$_SESSION是独立的，不存在未登录就直接访问，最大的可能是你登录过后没有退出登录

xni220 · 发表于 2018-3-25 15:39:08

沐沐发表于 2018-2-24 09:41
1、所有未解析到该服务器的域名，都可以使用域名+888进行访问是正常的，如果不需要，则自己后台配置绑定域 ...

我如果没有退出登陆我会发这是漏洞吗。不知道修复了没有。

痞子枫枫 · 发表于 2018-3-25 21:01:01

为什么我的加888不可以啊?

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	高防服务器40核 64G 20M 199/月	【恒爱云】香港低至8元1核1G2M