phpMyAdmin view_create.php 跨站脚本漏洞

文章由LinuxBoy分享于2019-04-02 03:04:45热评（503）

phpMyAdmin view_create.php 跨站脚本漏洞

发布日期：2013-07-04
更新日期：2013-07-05

受影响系统：
phpMyAdmin phpMyAdmin <= 4.0.3
描述：
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2013-3742

phpmyadmin是MySQL数据库的在线管理工具，主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。

phpMyAdmin 4.x之前版本的view_create.php存在跨站脚本漏洞，可使经过身份验证的远程攻击者通过无效的SQL CREATE VIEW语句，语句的名称是特制的，用于触发错误消息，然后利用此漏洞注入任意Web脚本或HTML。

<*来源：Maxim Rupp

链接：http://www.phpmyadmin.net/home_page/security/PMASA-2013-6.php
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

phpMyAdmin
----------
phpMyAdmin已经为此发布了一个安全公告（PMASA-2013-6.php）以及相应补丁:
PMASA-2013-6.php：PMASA-2013-6
链接：http://www.phpmyadmin.net/home_page/security/PMASA-2013-6.php

补丁下载：https://github.com/phpmyadmin/phpmyadmin/commit/9b3551601ce714adb5e3f428476052f0ec6093bf

推荐文章：

phpMyAdmin view_create.php 跨站脚本漏洞