影響版本:

phpMyAdmin 3.x

phpMyAdmin 2.11.x漏洞描述:

BUGTRAQ  ID: 36658

CVE ID: CVE-2009-3697,CVE-2009-3696

phpMyAdmin是用PHP編寫的工具，用于通過WEB管理MySQL。

phpMyAdmin沒有正確地過濾對MySQL表格名稱所提交的輸入?yún)?shù)，遠程攻擊者可以通過提交惡意請求執(zhí)行存儲式跨站腳本攻擊，并在用戶瀏覽惡意數(shù)據(jù)時執(zhí)行所注入的HTML和腳本代碼；此外phpMyAdmin還沒有正確地過濾提交給PDF schema生成器功能的各種參數(shù)，遠程攻擊者可以通過提交惡意請求執(zhí)行SQL注入攻擊。<*參考

http://secunia.com/advisories/37016/

http://www.phpmyadmin.net/home_page/security/PMASA-2009-6.php

https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=528769

http://bugs.gentoo.org/show_bug.cgi?format=multiple&id=288899

http://secunia.com/advisories/37089/ *>

SEBUG安全建議:

廠商補?。?

phpMyAdmin

目前廠商已經(jīng)發(fā)布了升級補丁以修復(fù)這個安全問題，請到廠商的主頁下載：

http://www.phpmyadmin.net/

【編輯推薦】

1. 谷歌發(fā)布Android安全漏洞補丁修復(fù)兩個DoS漏洞
2. 微軟緊急發(fā)布SMBv2安全漏洞補丁緩解風(fēng)險
3. 360安全衛(wèi)士：打漏洞補丁防止微軟“黑屏”