phpMyAdmin ‘what’参数本地文件包含漏洞（CVE-2013-3240）

日期: 2013/06/10 | 标签:phpmyadmin | 游览：258

受影响系统：
phpMyAdmin phpMyAdmin < 4.0.0-rc3 描述： BUGTRAQ ID: 59462 CVE(CAN) ID: CVE-2013-3240 phpmyadmin是MySQL数据库的在线管理工具，主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。 phpMyAdmin 4.0.0-rc3之前版本的Exprot功能存在目录遍历漏洞，经过身份验证的远程用户通过指定特制导出类型的参数，利用此漏洞可以包含任意文件，导致任意代码执行。 <*来源：Janek Vind "waraxe" （come2waraxe@yahoo.com） *>

建议：
厂商补丁：

phpMyAdmin
———-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.phpmyadmin.net/home_page/security/
https://github.com/phpmyadmin/phpmyadmin/commit/dedd542cdaf1606ca9aa3f6f8f8adb078d8ad549
https://github.com/phpmyadmin/phpmyadmin/commit/ffa720d90a79c1f33cf4c5a33403d09a67b42a66

← phpMyAdmin ‘$GLOBALS’ 数组未授权访问漏洞(CVE-2013-3241)

WordPress WP Super Cache插件远程PHP代码执行漏洞(CVE-2013-2009) →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

phpMyAdmin ‘what’参数本地文件包含漏洞（CVE-2013-3240）

评论关闭。