آسیب‌پذیری تزریق کُد PHP دلخواه در مسیر setup.php در نرم‌افزار phpMyAdmin

توسط : nsec
تاریخ : چهارشنبه 3 شهریور 1389
گروه : اﻋﻼن آسیب‌پذیری
تعداد بازدید : 345 بار

چکیده : یک مورد آسیب‌پذیری در نرم‌افزار phpMyAdmin گزارش شده ‌است که می‌تواند توسط نفوذگران جهت در اختیار گرفتن سیستم آسیب‌پذیر مورد سوء‌استفاده قرار گیرد.

عنوان	آسیب‌پذیری تزریق کُد PHP دلخواه در مسیر setup.php در نرم‌افزار phpMyAdmin
تاریخ	03/06/1389
شناسه آپا	APAIUT-90-89051
سطح خطر
آدرس دریافت وصله	http://www.phpmyadmin.net/home_page/downloads.php

شرح

یک مورد آسیب‌پذیری در نرم‌افزار phpMyAdmin گزارش شده ‌است که می‌تواند توسط نفوذگران جهت در اختیار گرفتن سیستم آسیب‌پذیر مورد سوء‌استفاده قرار گیرد.
این آسیب‌پذیری به واسطه عدم بررسی مناسب پارامترهای پیکربندی در هنگام نصب نرم‌افزار رخ می‌دهد که منجر به تزریق کُد PHP دلخواه در فایل پیکربندی نرم‌افزار phpMyAdmin می‌شود.
تذکر: جهت سوء‌استفاده موفقیت‌آمیز بایستی مسیر اصلی نصب نرم‌افزار طی نشده باشد و پس از نصب نیز فایل‌های مسیر نصب پاک نشده ‌باشند.
این آسیب‌پذیری در نسخه‌های قبل از 2.11.10.1 گزارش شده‌است.

راه حل

به‌روزرسانی به نسخه 2.11.10.1

منبع

http://www.phpmyadmin.net/home_page/security/PMASA-2010-4.php

اخبار مرتبط :

آسیب‌پذیری تزریق script در phpMyAdmin (دوشنبه 5 دی 1390)

چندین آسیب‌پذیری منتهی به تزریق اسکریپت در phpMyAdmin (سه شنبه 15 شهریور 1390)

ارائه 3 بسته به‌روزرسانی از سوی Fedora (شنبه 15 مرداد 1390)

ارائه بسته‌های به‌روزرسانی جهت 4 نرم‌افزار از طرف Debian (شنبه 8 مرداد 1390)

چندین آسیب‌پذیری در phpMyAdmin (سه شنبه 4 مرداد 1390)

ارائه 3 بسته به‌روزرسانی از طرف Fedora (سه شنبه 28 تیر 1390)

چندین آسیب‌پذیری در phpMyAdmin (شنبه 18 تیر 1390)

آسیب‌پذیری دور زدن محدودیت‌های امنیتی در SQL Query Bookmarks نرم‌افزار phpMyAdmin (شنبه 30 بهمن 1389)

آسیب‌پذیری XSS در بخش جستجوی پایگاه داده در نرم‌افزار phpMyAdmin (دوشنبه 15 آذر 1389)

آسیب‌پذیری XSS در phpMyAdmin ( چهارشنبه 31 شهریور 1389)

چندین آسیب‌پذیری XSS در نرم‌افزار phpMyAdmin ( چهارشنبه 3 شهریور 1389)

آسیب‌پذیری اجرای کد "()php_register_variable_ex" در PHP ( یک شنبه 16 بهمن 1390)

آسیب‌پذیری هنگام ایجاد کد Hash در PHP Web Form (شنبه 10 دی 1390)

انتشار بسته اصلاح کننده از طرف Debian برای phpldapadmin (سه شنبه 10 آبان 1390)

چندین مورد آسیب‌پذیری در Drupal (شنبه 11 تیر 1390)

ارائه بسته به‌روزرسانی php5 توسط Debian (شنبه 11 تیر 1390)

چندین مورد آسیب‌پذیری در PHP (سه شنبه 7 تیر 1390)

دو مورد آسیب‌پذیری منتهی به از کار افتادن سرویس در PHP (شنبه 30 بهمن 1389)

آسیب‌پذیری الحاق اسکریپت فلش BBCode در phpBB (سه شنبه 2 آذر 1389)

کلیه حقوق این سایت متعلق به مرکز تخصصی آپا دانشگاه صنعتی اصفهان می‌باشد. استفاده از مطالب تنها در صورت دریافت تاییدیه کتبی مجاز است.

ورود کاربران | نقشه سايت | تماس با ما