发布日期:2011-09-15
更新日期:2011-09-15
受影响系统:
phpMyAdmin phpMyAdmin 3.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 49648
phpMyAdmin是一个用PHP编写的,可以通过 web 方式控制和操作 MySQL 数据库。
phpMyAdmin在实现上存在多个HTML注入安全漏洞,远程攻击者可利用这些漏洞在受影响站点的用户浏览器中执行任意脚本代码,窃取cookie凭证。
1)在联机编辑和保存后,某些行内容的输入没有正确过滤就开始使用了,可被利用在查看恶意数据时执行插入的任意HTML和脚本代码。
2)传递到表格、列和索引名称的某些输入在使用前没有正确过滤,可被利用插入任意HTML和脚本代码,然后在查看时在用户浏览器中执行。
建议:
--------------------------------------------------------------------------------
厂商补丁:
phpMyAdmin
----------
phpMyAdmin已经为此发布了一个安全公告(PMASA-2011-14)以及相应补丁:
PMASA-2011-14:Announcement-ID: PMASA-2011-14