漏洞起因
SQL注入错误
危险等级
中
影响系统
phpMyAdmin 3.x
phpMyAdmin 4.x
不受影响系统
危害
远程攻击者可以利用漏洞获取数据库信息或控制应用系统。
CVSSv2:
攻击所需条件
攻击者必须访问phpMyAdmin。
漏洞信息
phpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具。
通过”scale” POST参数传递给pmd_pdf.php及通过”pdf_page_number” POST参数传递给schema_export.php的输入在用于SQL查询之前缺少过滤,允许通过验证的攻击者利用漏洞提交恶意SQL查询,可对数据库文件进行读写操作。
测试方法
安全建议
厂商解决方案
phpMyAdmin 3.5.8.2或4.0.4.2已经修复此漏洞,建议用户下载更新:
http://www.phpmyadmin.net/
漏洞提供者
Noam Rathaus
评论关闭。