phpMyAdmin setup.php脚本的任意PHP代码注入漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-06-23
phpMyAdmin setup.php脚本的任意PHP代码注入漏洞

受影响系统:
phpMyAdmin phpMyAdmin 3.x
phpMyAdmin phpMyAdmin 2.11.x

不受影响系统:
phpMyAdmin phpMyAdmin 3.1.3.1
phpMyAdmin phpMyAdmin 2.11.9.5

描述:
phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。

phpMyAdmin的Setup脚本用于生成配置。如果远程安全者向该脚本提交了特制的POST请求的话,就可能在生成的config.inc.php配置文件中包含任意PHP代码。由于配置文件被保存到了服务器上,未经认证的远程安全者可以利用这个漏洞执行任意PHP代码。

厂商补丁:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=12301

上一篇:phpMyAdmin SQL书签远程执行 HTML和脚本代码漏洞
下一篇:WordPress Photoracer插件Id参数SQL注入安全漏洞

最近更新

随机推荐