首頁 > 安全研究 > 安全通報 > 安全通告

phpMyAdmin漏洞安全通告

發布時間 2019-01-28

漏洞編號和級別

CVE編號：CVE-2019-6799，危險級別：嚴重，CVSS分值：官方未評定

CVE編號：CVE-2019-6798，危險級別：高危，CVSS分值：官方未評定

影響范圍

受影響版本：

CVE-2019-6799：

phpMyAdmin 4.0到4.8.4

CVE-2019-6798：

phpMyAdmin 4.5.0到4.8.4

漏洞概述

phpMyAdmin是phpMyAdmin團隊開發的一套免費的、基于Web的MySQL數據庫管理工具。該工具能夠創建和刪除數據庫，創建、刪除、修改數據庫表，執行SQL腳本命令等。

phpMyAdmin 4.8.4之前版本中存在任意文件讀取漏洞和Designer界面中的SQL注入漏洞，概述如下：

CVE-2019-6799

此攻擊要求 phpMyAdmin將 AllowArbitraryServer指令設置為 true 來運行，而不是默認值。攻擊者還必須通過偽裝成MySQL服務器運行惡意服務器進程。利用此漏洞可以讀取服務器上的任意文件。

CVE-2019-6798

此漏洞可以使用特定的用戶名通過設計器功能觸發SQL注入攻擊。

修復建議

目前廠商已發布升級補丁以修復漏洞，請更新至phpMyAdmin 4.8.5. https://www.phpmyadmin.net/downloads/。

參考鏈接

https://www.phpmyadmin.net/news/2019/1/26/security-fix-phpmyadmin-485-released/

https://www.phpmyadmin.net/security/PMASA-2019-1/

https://www.phpmyadmin.net/security/PMASA-2019-2/

https://www.phpmyadmin.net/downloads/

7*24小時服務熱線

400-624-3900

官方微信

官方微博

法律聲明

網絡安全防護

網絡安全檢測

應用安全

數據安全

安全管理

云安全

工控安全

移動及終端安全

密碼應用安全

大模型應用安全

專業安全服務

安全運營中心

知白學院

威脅情報中心

安全團隊

售后服務

公司概況

新聞動態

技術專題

人才招聘

投資者關系

資源中心

聯系我們

安全研究