发布日期：2009-04-14
更新日期：2009-04-16

受影响系统：

phpMyAdmin phpMyAdmin 3.x
phpMyAdmin phpMyAdmin 2.11.x

不受影响系统：

phpMyAdmin phpMyAdmin 3.1.3.2

描述：

---

BUGTRAQ  ID: 34526
CVE(CAN) ID: CVE-2009-1285

phpMyAdmin是用PHP编写的工具，用于通过WEB管理MySQL。

phpMyAdmin所使用的setup脚本没有正确地过滤配置参数，如果远程攻击者向服务器提交了恶意的POST请求，就可以在所生成的配置文件中注入任意PHP代码。

<*来源：Tenable Network Security （http://www.tenablesecurity.com/）
  
  链接：http://secunia.com/advisories/34727/
        http://www.phpmyadmin.net/home_page/security/PMASA-2009-4.php
*>

建议：

---

厂商补丁：

phpMyAdmin
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=12342
http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=12348

浏览次数：3392
严重程度：0（网友投票）