phpMyAdmin远程PHP代码注入漏洞_PHP教程

WBOY
Lepaskan: 2016-07-13 17:08:56
asal
1290 orang telah melayarinya

涉及程序:
phpMyAdmin
描述:
phpMyAdmin远程PHP代码注入漏洞
 
详细:
phpMyAdmin是一个免费工具,为管理MySQL提供了一个WWW管理接口。
phpMyAdmin存在PHP代码注入问题,远程攻击者可以利用这个eval()函数执行任意PHP命令。
不过此漏洞只有当$cfg[‘LeftFrameLight‘]变量(config.inc.php文件)设置成FALSE时才有用。
phpMyAdmin在($cfg[‘Servers‘][$i])数组变量中存储多个服务器配置,这些配置包含在config.inc.php文件中,信息包括主机、端口、用户、密码、验证类型等,但是由于$cfg[‘Servers‘][$i]没有进行初始化,允许远程用户通过GET函数增加服务器的配置,如提交如下请求增加配置:
http://target/phpMyAdmin-2.5.7/left.php?server=4&cfg[Servers][host]=202.81.x.x&cfg[Servers][port]=8888&cfg[Servers][user]=alice ..
而eval()函数中的$eval_string字符串允许执行PHP代码,攻击者可以增加服务器配置和提交特殊构建的表名,可导致包含的恶意PHP代码被执行。
受影响系统:
phpMyAdmin phpMyAdmin 2.5.7
 
攻击方法:
暂无有效攻击代码
 
解决方案:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.phpmyadmin.net

www.bkjia.comtruehttp://www.bkjia.com/PHPjc/629810.htmlTechArticle涉及程序: phpMyAdmin 描述: phpMyAdmin远程PHP代码注入漏洞 nbsp; 详细: phpMyAdmin是一个免费工具,为管理MySQL提供了一个WWW管理接口。 phpMyAdm...
sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan
Tentang kita Penafian Sitemap
Laman web PHP Cina:Latihan PHP dalam talian kebajikan awam,Bantu pelajar PHP berkembang dengan cepat!