|
信息提供: |
安全公告(或线索)提供热线:51cto.editor@gmail.com |
|
漏洞类别: |
输入确认漏洞 |
|
攻击类型: |
远程攻击 |
|
发布日期: |
2005-12-07 |
|
更新日期: |
2005-12-07 |
|
受影响系统: |
phpMyAdmin 2.x |
|
安全系统: |
无 |
|
漏洞报告人: |
Stefan Esser |
|
漏洞描述: |
Secunia Advisory: SA17925 phpMyAdmin register_globals仿真"import_blacklist"操作漏洞 Stefan Esser已经发现了在phpMyAdmin中的漏洞,可被恶意攻击者利用执行交叉脚本攻击,泄露潜在的敏感信息,和威胁易受攻击的系统。 漏洞的发生是由于在"grab_globals.php"的register_globals仿真层中的一个错误,在"grab_globals.php"中的"import_blacklist"参数不能被保护避免被过多的写入。可被利用在用户的浏览器中执行任意HTML代码和脚本代码,和从外地和本地资源引入任意文件。 与SA17289漏洞#1有关。 已经报道了在phpMyAdmin 2.7.0版本中的漏洞。 |
|
测试方法: |
无 |
|
解决方法: |
升级到phpMyAdmin 2.7.0-pl1版本。
http://sourceforge.net/project/showfiles.php?group_id=23067
|
相关文章
