phpMyAdmin工具中setup.php文件跨站脚本执行漏洞
来源:岁月联盟
时间:2009-03-25
phpMyAdmin phpMyAdmin < 2.11.8
不受影响系统:
phpMyAdmin phpMyAdmin 2.11.8
描述:
phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。
phpMyAdmin的scripts/setup.php文件中show_overview ($title, $list, $buttons = ’’)函数没有正确地过滤685行echo $val[1]输入参数便返回给了用户,如果用户受骗跟随了恶意链接的话就会导致在用户浏览器会话中执行任意HTML和脚本代码。
厂商补丁:
phpMyAdmin
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://prdownloads.sourceforge.net/phpmyadmin/phpMyAdmin-2.11.8.1-all-languages.tar.gz?download