phpMyAdmin工具中的pmd_pdf.php模块跨站脚本漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2008-10-31
phpMyAdmin工具中的pmd_pdf.php模块跨站脚本漏洞 受影响系统:
phpMyAdmin phpMyAdmin 3.0.1
phpMyAdmin phpMyAdmin 2.11.9.2

描述:
phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。 

phpMyAdmin的pmd_pdf.php模块没有正确地验证对db参数的输入便返回给了用户,远程安全者可以通过提交恶意请求执行跨站脚本安全,导致在用户浏览器会话中执行任意HTML和脚本代码。成功安全要求打开了register_globals且拥有有效的用户凭据。

厂商补丁:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.phpmyadmin.net/