phpMyAdmin 'what'参数本地文件包含漏洞（CVE-2013-3240）

文章由LinuxBoy分享于2019-04-02 02:04:14热评（211）

phpMyAdmin 'what'参数本地文件包含漏洞（CVE-2013-3240）

发布日期：2013-04-24
更新日期：2013-04-28

受影响系统：
phpMyAdmin phpMyAdmin < 4.0.0-rc3
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 59462
CVE(CAN) ID: CVE-2013-3240

phpmyadmin是MySQL数据库的在线管理工具，主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。

phpMyAdmin 4.0.0-rc3之前版本的Exprot功能存在目录遍历漏洞，经过身份验证的远程用户通过指定特制导出类型的参数，利用此漏洞可以包含任意文件，导致任意代码执行。

<*来源：Janek Vind "waraxe" （come2waraxe@yahoo.com）
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

phpMyAdmin
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.phpmyadmin.net/home_page/security/
https://github.com/phpmyadmin/phpmyadmin/commit/dedd542cdaf1606ca9aa3f6f8f8adb078d8ad549
https://github.com/phpmyadmin/phpmyadmin/commit/ffa720d90a79c1f33cf4c5a33403d09a67b42a66

推荐文章：

phpMyAdmin 'what'参数本地文件包含漏洞（CVE-2013-3240）