phpMyAdmin PHP Code Injection 弱點
發佈日期: 2010/08/26
風險等級: 高
弱點描述:
phpMyAdmin 2.11.x 於 2.11.10.1 之前版本未正確的限制輸出檔案的關鍵名稱,允許遠端攻擊者可透過蓄意製作的POST請求去執行任意的PHP程式碼。
CVE ID: CVE-2010-3055
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3055
phpMyAdmin 多個 Cross-Site Scripting 弱點
發佈日期: 2010/08/26
風險等級: 中
弱點描述:
phpMyAdmin 2.11.x 於 2.11.10.1 之前版本,及 3.x 於 3.3.51 之前版本存有多個 cross-site scripting (XSS)弱點,允許攻擊者注入任意的網頁 Script 或 HTML 以通過(1) db_search.php, (2) db_sql.php, (3) db_structure.php, (4) js/messages.php, (5) libraries/common.lib.php, (6) libraries/database_interface.lib.php, (7) libraries/dbi/mysql.dbi.lib.php, (8) libraries/dbi/mysqli.dbi.lib.php, (9) libraries/db_info.inc.php, (10) libraries/sanitizing.lib.php, (11) libraries/sqlparser.lib.php, (12) server_databases.php, (13) server_privileges.php, (14) setup/config.php, (15) sql.php, (16) tbl_replace.php, and (17) tbl_sql.php 這些相關載體。
CVE ID: CVE-2010-3056
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3056
修補方式:
For 2.x 升級到 phpMyAdmin 2.11.10.1, For 3.x 升級到 phpMyAdmin 3.3.5.1, 或最新版本的 phpMyAdmin。
沒有留言:
張貼留言