phpMyAdmin发布最新版本,请立即修补安全漏洞
据报道,phpmyadmin更新到4.8.4版本,修补了重要漏洞和bug,其中三个是本地文件包含、跨站请求伪造、XSS。
2018年12月11日,phpmyadmin更新到4.8.4版本,修补了几个重要漏洞。phpMyAdmin项目组通过其博客发布了关于最新安全更新的提示,可能是第一次作为试验性的做法。通过发布安全公告可以帮助网站管理员,托管服务提供商和软件包管理器更好地为安全发布做好准备。
“我们受到其他项目(如Mediawiki和其他项目)的工作流程的启发,这些项目经常会提前发布任何安全版本,以便让软件包维护人员和托管服务提供商做好准备。我们正在尝试查看这样的工作流程是否适合我们的项目, “phpMyAdmin发布经理Isaac Bennetch告诉The Hacker News。
phpMyAdmin在其最新的咨询中透露,除了修补大量bug之外,还修补了phpMyAdmin4.8.4版本之前的三个重要漏洞。
新的phpMyAdmin漏洞
三个新发现的 phpMyAdmin漏洞的详细信息如下所述:
1。)本地文件包含(CVE-2018-19968) -至少从4.0到4.8.3的phpMyAdmin版本就有一个本地文件包含漏洞,可允许远程攻击者通过转换功能从服务器上的本地文件中获取敏感内容。
“攻击者必须能够访问phpMyAdmin配置存储表,尽管可以在攻击者访问的任何数据库中轻松创建这些表。攻击者必须拥有有效的凭据才能登录phpMyAdmin; 此漏洞不允许攻击者绕过登录系统。“
2.)跨站请求伪造(CSRF)/ XSRF(CVE-2018-19969) - phpMyAdmin4.7.0到4.7.6 版本和4.8.0到4.8.3都有CS有CSRF/XSRF漏洞,如果被利用,可以允许攻击者“通过欺骗受害者打开特制链接”来“执行有害的SQL操作,例如重命名数据库、创建新表/例程、删除设计器页面、添加/删除用户、更新用户密码、终止SQL进程”。
3.)跨站点脚本(XSS)(CVE-2018-19970) -该软件的导航树中有一个跨站点脚本漏洞,该漏洞影响至少4.0到4.8.3版本,攻击者可以使用它通过特制的数据库/表名将恶意代码注入仪表板。
为了解决上面列出的所有安全漏洞,phpMyAdmin开发人员发布了最新版本4.8.4,以及一些以前版本的单独补丁。
强烈建议网站管理员和托管服务提供商立即安装最新的更新或补丁。
评论13次
有exp嘛。我得先去更新一波了
绝对是高危,就是没有EXP
啥时候会写exp就好了。这些东西就能自己写利用了
还好使用django框架,不慌不慌
老夫预测又有一大波站点要沦陷了
请问有分析文章吗
我记着前几天坛子老哥写过相关文章,师傅找找看呢
请问有分析文章吗
exp呢,测试下
老哥,我也想要。。不过坛子有大哥给了分析,你看看呢
老哥 有没有exp
没有,老哥。。坛子里有大哥出了分析,大哥看看呢
exp呢,测试下
包含漏洞 有点用
老哥 有没有exp
谢谢提醒,我这就去更新。。。。