phpMyAdmin漏洞安全通告
发布时间 2019-01-28漏洞编号和级别
CVE编号:CVE-2019-6799,危险级别:严重,CVSS分值:官方未评定
CVE编号:CVE-2019-6798,危险级别:高危,CVSS分值:官方未评定
影响范围
受影响版本:
CVE-2019-6799:
phpMyAdmin 4.0到4.8.4
CVE-2019-6798:
phpMyAdmin 4.5.0到4.8.4
漏洞概述
phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。
phpMyAdmin 4.8.4之前版本中存在任意文件读取漏洞和Designer界面中的SQL注入漏洞,概述如下:
CVE-2019-6799
此攻击要求 phpMyAdmin将 AllowArbitraryServer指令设置为 true 来运行,而不是默认值。攻击者还必须通过伪装成MySQL服务器运行恶意服务器进程。利用此漏洞可以读取服务器上的任意文件。
CVE-2019-6798
此漏洞可以使用特定的用户名通过设计器功能触发SQL注入攻击。
修复建议
目前厂商已发布升级补丁以修复漏洞,请更新至phpMyAdmin 4.8.5. https://www.phpmyadmin.net/downloads/。
参考链接
https://www.phpmyadmin.net/news/2019/1/26/security-fix-phpmyadmin-485-released/
https://www.phpmyadmin.net/security/PMASA-2019-1/
https://www.phpmyadmin.net/security/PMASA-2019-2/
https://www.phpmyadmin.net/downloads/
京公网安备11010802024551号