phpMyAdmin import.php GLOBALS变量注入漏洞

发布日期:2013-07-04
更新日期:2013-07-06

受影响系统:
phpMyAdmin phpMyAdmin <= 4.0.4.1
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2013-4729

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。

phpMyAdmin 4.0.4.1之前版本内的import.php没有正确限制文件格式定义数据输入权限,可使经过身份验证的远程用户修改GLOBALS超级全局数组,然后通过特制的请求更改配置。

<*来源:Markus Wulftange
 
  链接:http://www.phpmyadmin.net/home_page/security/PMASA-2013-7.php
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

phpMyAdmin
----------
phpMyAdmin已经为此发布了一个安全公告(PMASA-2013-7)以及相应补丁:
PMASA-2013-7:PMASA-2013-7
链接:http://www.phpmyadmin.net/home_page/security/PMASA-2013-7.php

补丁下载:https://github.com/phpmyadmin/phpmyadmin/commit/012464268420e53a9cd81cbb4a43988d70393c36

相关推荐