ホームページ  >  記事  >  バックエンド開発  >  phpMyAdmin リモート PHP コード インジェクションの脆弱性_PHP チュートリアル

phpMyAdmin リモート PHP コード インジェクションの脆弱性_PHP チュートリアル

WBOY
WBOYオリジナル
2016-07-13 17:08:561308ブラウズ

関係するプログラム:
phpMyAdmin
説明:
phpMyAdmin リモート PHP コード インジェクションの脆弱性
 
詳細:
phpMyAdmin は、MySQL を管理するための WWW 管理インターフェイスを提供する無料のツールです。
phpMyAdmin には PHP コード インジェクションの問題があり、リモート攻撃者はこの eval() 関数を使用して任意の PHP コマンドを実行する可能性があります。
ただし、この脆弱性は $cfg[‘LeftFrameLight‘] 変数 (config.inc.php ファイル) が FALSE に設定されている場合にのみ機能します。
phpMyAdmin は、複数のサーバー設定を ($cfg['Servers'][$i]) 配列変数に保存します。これらの設定には、ホスト、ポート、ユーザー、パスワード、認証タイプが含まれます。などですが、$cfg['Servers'][$i] が初期化されていないため、リモート ユーザーは、構成を追加する次のリクエストを送信するなど、GET 関数を通じてサーバー構成を追加できます:
http:// target/phpMyAdmin-2.5.7/left .php?server=4&cfg[サーバー][ホスト]=202.81.x.x&cfg[サーバー][ポート]=8888&cfg[サーバー][ユーザー]=alice 。
そして eval() 関数内 $eval_string 文字列により PHP コードの実行が可能になり、攻撃者はサーバー構成を増やし、特別に構築されたテーブル名を送信することで、含まれている悪意のある PHP コードが実行される可能性があります。
影響を受けるシステム:
phpMyAdmin phpMyAdmin 2.5.7
 
攻撃方法:
有効な攻撃コードはまだありません
 
解決策:
現在、このソフトウェアのユーザーはこれを使用することをお勧めします。ソフトウェアはいつでも製造元のホームページに従って最新バージョンを入手してください:
http://www.phpmyadmin.net

www.bkjia.comtru​​ehttp://www.bkjia.com/PHPjc/629810.html技術記事関係するプログラム: phpMyAdmin 説明: phpMyAdmin リモート PHP コード インジェクションの脆弱性 nbsp; 詳細: phpMyAdmin は、MySQL を管理するための WWW 管理インターフェイスを提供する無料のツールです。 phpMyAdm...
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。