phpMyAdmin '$_SESSION'数列未授权访问漏洞

2011-06-30T00:00:00
ID SSV:20677
Type seebug
Reporter Root
Modified 2011-06-30T00:00:00

Description

Bugtraq ID: 48480

phpMyAdmin是一款基于PHP的MySQL管理程序。 phpMyAdmin存在多个安全漏洞: 1,超级全局$_SESSION数列中的任意变量可覆盖或使用任意值创建。 2,phpMyAdmin中的一个错误配置允许$_SESSION数列中的内容写入到.php-file中,组合1漏洞可能执行任意代码。 3,$_SESSION数列中的内容(post验证)用于函数输入可执行PHP代码。

phpMyAdmin 3.4.0 厂商解决方案 目前没有详细解决方案提供: http://www.phpmyadmin.net/