phpMyAdmin工具中sort_by参数远程代码执行漏洞---------- 红客中国安全网-红客网络改变世界,创造网络安全新纪元

HKC安全网软件公告

红客中国自主开发的红客网警系列软件将在10月隆重上市，敬请关注。（红客中国反入侵精灵将暂时停止下载）



	漏洞公告
	病毒公告
	安全聚焦
	技术文章

首页 > 安全资讯 > 漏洞公告

phpMyAdmin工具中sort_by参数远程代码执行漏洞

发布日期：2008-09-27 12:49:37 共阅0次

受影响系统：
phpMyAdmin phpMyAdmin < 2.11.9.1

不受影响系统：
phpMyAdmin phpMyAdmin 2.11.9.1

描述：
phpMyAdmin是用PHP编写的工具，用于通过WEB管理MySQL。

phpMyAdmin的server_databases.php脚本没有正确地过滤对sort_by参数的输入，远程攻击者可以通过提交恶意请求注入并执行任意PHP代码。

厂商补丁：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://cache.gmane.org//gmane/comp/security/oss/general/947-001.bin