phpMyAdmin 'pmd_pdf.php'跨站脚本漏洞

2008-10-28T00:00:00
ID SSV:4363
Type seebug
Reporter Root
Modified 2008-10-28T00:00:00

Description

BUGTRAQ ID: 31928 CNCAN ID:CNCAN-2008102804

phpMyAdmin是一款基于WEB的MySQL管理程序。 phpMyAdmin 'pmd_pdf.php'不正确处理用户输入,远程攻击者可以利用漏洞进行跨站脚本攻击,获得敏感信息。 'pmd_pdf.php'脚本不正确处理用户提交给'db'参数的数据,提交恶意脚本代码作为参数,并诱使用户访问,可导致获得目标用户敏感信息。

phpMyAdmin 3.0.1 phpMyAdmin 3.0 目前没有解决方案提供: <a href=http://www.phpmyadmin.net/ target=_blank>http://www.phpmyadmin.net/</a>

                                        
                                            
                                                http://[www.example.com]/pmd_pdf.php?db=&gt;&quot;&gt;&lt;script&gt;alert('Hadi-Kiamarsi')&lt;/script&gt;