phpMyAdmin 'import.php'跨站脚本漏洞

最新推荐文章于 2025-09-07 00:18:35 发布
转载 最新推荐文章于 2025-09-07 00:18:35 发布 · 186 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/security4399/p/3566024.html
文章标签:

#php #数据库

本文概述了phpMyAdmin多个版本中存在的远程代码执行漏洞,详细介绍了漏洞描述、影响版本及安全建议,强调了及时应用厂商补丁的重要性。
漏洞版本:
phpMyAdmin phpMyAdmin 3.4.9 
phpMyAdmin phpMyAdmin 3.4.8 
phpMyAdmin phpMyAdmin 3.4.6 
phpMyAdmin phpMyAdmin 3.4.3 
phpMyAdmin phpMyAdmin 3.3.8 
phpMyAdmin phpMyAdmin 3.3.7 
phpMyAdmin phpMyAdmin 3.3.6 
phpMyAdmin phpMyAdmin 3.3.5 
phpMyAdmin phpMyAdmin 3.3.3 0
phpMyAdmin phpMyAdmin 3.4.5
phpMyAdmin phpMyAdmin 3.4.4
phpMyAdmin phpMyAdmin 3.4.1
phpMyAdmin phpMyAdmin 3.4.0
phpMyAdmin phpMyAdmin 3.3.4.0
phpMyAdmin phpMyAdmin 3.3.2.0
phpMyAdmin phpMyAdmin 3.3.1.0
MandrakeSoft Enterprise Server 5 x86_64
MandrakeSoft Enterprise Server 5
漏洞描述:
BUGTRAQ  ID: 65717
CVE(CAN) ID: CVE-2014-1879

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。

攻击者可能会利用漏洞在受影响站点上下文的不知情用户浏览器中执行任意脚本代码。这可以允许攻击者窃取基于cookie的认证证书,并发动其他攻击。
<* 参考
http://www.securityfocus.com/bid/65717
http://sebug.net/appdir/phpMyAdmin
*>
安全建议:
厂商补丁:

phpMyAdmin
----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.phpmyadmin.net/home_page/security/

转载于:https://www.cnblogs.com/security4399/p/3566024.html

CVE-2016-5734 phpmyadmin 远程代码执行漏洞
xuxuxuxxxxx的博客
05-31 482
phpMyAdmin 是一个用PHP编写的软件工具,可以通过web方式控制和操作MySQL数据库。通过phpMyAdmin 可以完全对数据库进行操作,例如建立、复制和删除数据等等。phpMyAdmin在其查找并替换字符串功能中,将用户输入的信息拼接进 preg_replace 函数第一个参数中。在PHP5.4.7以前,preg_replace 的第一个参数可以利用\0进行截断,并将正则模式修改为e。众所周知,e模式的正则支持执行代码,此时将可构造一个任意代码执行漏洞
PhpMyAdmin 远程代码执行漏洞 (CVE-2016-5734)复现
君莫hacker的博客
09-12 825
0x01 漏洞介绍 漏洞描述 phpMyAdmin是一套开源的、基于Web的MySQL数据库管理工具。在其查找并替换字符串功能中,将用户输入的信息拼接进preg_replace函数第一个参数中。 在PHP5.4.7以前,preg_replace的第一个参数可以利用\0进行截断,并将正则模式修改为e。众所周知,e模式的正则支持执行代码,此时将可构造一个任意代码执行漏洞漏洞编号 CVE-2016-5734 受影响版本 4.0.10.16之前4.0.x版本 4.4.15.7之前4.4.x版本
phpMyAdmin import.php 跨站脚本漏洞
weixin_30416871的博客
02-22 177
漏洞名称: phpMyAdmin import.php 跨站脚本漏洞 CNNVD编号: CNNVD-201402-281 发布时间: 2014-02-21 更新时间: 2014-02-21 危害等级: 低危 漏洞类型: 跨站脚本 威胁类型: 远程 CVE编号: CVE-20...
http://localhost/phpmyadmin/import.php
weixin_40945354的博客
09-20 422
http://localhost/phpmyadmin/import.php
php写usersgent,CVE-2010-4480 PhpMyAdmin error.php文件跨站脚本攻击漏洞-漏洞情报、漏洞详情、安全漏洞、CVE - 安全客,安全资讯平台...
weixin_29767975的博客
03-27 652
PhpMyAdmin Client Side 0Day Code Injection and Redirect Link FalsificationCredits:Emanuele 'emgent' Gentili Marco 'white_sheep' Rondini Alessandro 'scox' Scoscia In error.php, PhpMyAdmin permit to...
phpmyadmin/scripts/setup.php,phpMyAdmin setup.php文件跨站脚本执行漏洞
weixin_39573512的博客
03-20 265
BugCVE: CVE-2008-3456,CVE-2008-3457BUGTRAQ: 30420phpMyAdmin的scripts/setup.php文件中show_overview ($title, $list, $buttons = '')函数没有正确地过滤685行echo $val[1]输入参数便返回给了用户,如果用户受骗跟随了恶意链接的话就会导致在用户浏览器会话中执行任意HTML和脚本...
phpmyadmin能上传PHP文件,更改php上传限制(phpmyadmin Import上传限制)
weixin_39803022的博客
03-13 188
当对sql脚本通过phpmyadmin导入时,会有个提示,不能上传大于2M的文件,要不会报错。更改此限制方法:编辑php.ini配置文件;;;;;;;;;;;;;;;;; File Uploads ;;;;;;;;;;;;;;;;;; Whether to allow HTTP file uploads.; http://www.php.net/manual/en/ini.core.php#ini...
phpMyAdmin 2.11.8.1 漏洞
03-20
phpMyAdmin 的 `setup.php` 文件可能存在跨站脚本执行漏洞。此漏洞允许攻击者通过注入恶意 JavaScript 代码来控制用户的浏览器行为,从而窃取敏感数据或冒充合法用户进行操作[^1]。 修复建议: - 更新到最新版本的 ...
04 渗透测试基础
weixin_43234021的博客
01-04 1万+
渗透测试基础一 代码审计1 基础环境搭建(1) Web服务:WAMP+phpstudy(2) phpstudy2 HTML 表单 一 代码审计 1 基础环境搭建 (1) Web服务:WAMP+phpstudy (2) phpstudy 启动问题 端口正常开放 80 http 3306 mysql web根目录[C:\Users\dq\Documents\phpStudy-1-24\phpStudy\WWW] php 探针 phpinfo.php phpmyadmin Apache配置文件:[
Adminer≤4.6.2任意文件读取漏洞1
08-03
Adminer是一款功能强大的Web数据库管理工具,它支持多种主流数据库系统,如MSSQL、MySQL、Oracle、SQLite和PostgreSQL,与phpMyAdmin类似。由于其轻量级的特性,只需一个PHP文件,便于部署和管理远程数据库。然而,...
phpMyAdmin导入(import)文件大小限制的解决办法
Brucelqw的成长天空
12-12 801
首先检查php.ini 配置文件中的以下三个地方,upload_max_filesize, memory_limit 和post_max_size,并且推荐修改的值要稍大于导入的巨大sql数据库文件;依照这个提示,我修改了以上三个在php.ini中的值以后,重启了php环境,再次导入时,虽然 phpmyadmin还是显示导入最大限制:20,480 KB,但巨大的200M数据库文件已经被成功的导入了
phpMyAdmin漏洞学习Pro
lubai60060的博客
05-15 1581
是一个基于 Web 的 MySQL/MariaDB 数据库管理工具,使用 PHP 编写,允许用户通过浏览器直接操作数据库
最全phpmyadmin漏洞汇总
m0_67402013的博客
07-31 1万+
phpMyAdmin是一个用php编写的免费软件工具,旨在通过Web友好界面处理MySQL的管理。phpMyAdmin支持对MySQL和MariaDB数据库的广泛操作。经常使用的操作(有如管理数据库、表、列、关系、索引、用户、权限等)可以通过用户界面执行,当然您也可以直接执行任何SQL语句。从1998年发布第一版,到目前发布的最新版为5.1.1,全部历史版本说明phpMyAdmin5.2未来版本与PHP7.2及更高版本和MySQL/MariaDB5.5及更高版本兼容。11、条件。...
phpMyAdmin 跨站脚本漏洞
weixin_30951389的博客
08-10 117
漏洞名称: phpMyAdmin 跨站脚本漏洞 CNNVD编号: CNNVD-201307-647 发布时间: 2013-08-09 更新时间: 2013-08-09 危害等级: 低危 漏洞类型: 跨站脚本 威胁类型: 远程 CVE编号: CVE-2013-4995 ...
PHP:phpMyAdmin如何解决本地导入文件(数据库)为2M的限制
weixin_30902251的博客
07-01 193
经验地址:http://jingyan.baidu.com/article/e75057f2a2288eebc91a89b7.html 当我们从别人那里导出数据库在本地导入时,因为数据库文件大于2M而在phpMyAdmin导入时无法导入,主要原因是phpMyAdmin限制导入文件最大为2M,那么怎样解决呢? ******该方法为本地导入方法,虚拟主机的暂且不能******** 第一步,在PH...
PHPmyadmin漏洞和拿shell
热门推荐
Hacker小梦
04-06 1万+
phpmyadmin漏洞相对来说,还是比较多的,对于新手来说,分享几个漏洞,深入的处于代码审计方面的也可以和我讨论 phpmyadmin2.11.3-2.11.4 这两个版本存在万能密码,直接使用‘localhost’@'@”为账号,密码不用输入。 phpmyadmin2.11.9.2 这个版本存在空口令。直接root用户登陆,密码不用 找这个的话 用自己的写的脚本,或者搜素引擎什么的,这
phpMyAdmin 4.8.x 最新版 本地文件包含漏洞利用
Ambulong的博客
06-21 6111
今天ChaMd5安全团队公开了一个phpMyAdmin最新版中的本地文件包含漏洞phpmyadmin4.8.1后台getshell。该漏洞利用不要求root帐号,只需能够登录 phpMyAdmin 便能够利用。 在这篇文章中我们将使用VulnSpy的在线 phpMyAdmin 环境来演示该漏洞的利用。 VulnSpy 在线 phpMyAdmin 环境地址:http://www.vulnspy.c...
phpmyadmin 0day exp
weixin_34014277的博客
07-13 301
虽然还是很鸡肋(要求根目录下存在config文件夹且可写),不过好很多了。可以无视session.auto_start配置了。 #!/usr/bin/php <?php print_r(' +---------------------------------------------------------------------------+ pma...
通过S参数测量评估电容器阻抗 第 1 部分
最新发布
jkh920184196的博客
09-07 514
图 8 比较了单端口分流器和双端口分流配置之间的结果,而图 9 比较了双端口串联和双端口分流配置。图 9:基于 S11 的阻抗曲线 – 双端口串联(公式 26)与双端口分流器(公式 17)表1显示了0 dB和自谐振频率下的单端口分流器、双端口分流器和Murata测量值。图 8:S11基于阻抗曲线 – 单端口分流器(式 7)与双端口分流器(式 17)第 1 部分:S11单端口分流、双端口分流和双端口系列方法。参数采用单端口分流法、双端口分流和双端口串联方法。双端子 DUT 的双端口分流配置如图 3 所示。
phpMyAdmin 3.3.9.0版本源代码发布,提供MySQL操作的PHP脚本
### phpMyAdmin源代码知识点详解 #### 标题解析 - **phpMyAdmin**: phpMyAdmin是一个用PHP编写,用于管理MySQL数据库的管理工具,通过Web浏览器可进行数据库的创建、修改、删除、查询以及运行SQL语句等操作。 - *...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值