phpMyAdmin漏洞安全通告

发布时间 2019-01-28

漏洞编号和级别


CVE编号:CVE-2019-6799,危险级别:严重,CVSS分值:官方未评定

CVE编号:CVE-2019-6798,危险级别:高危,CVSS分值:官方未评定


影响范围


受影响版本:

CVE-2019-6799

phpMyAdmin 4.04.8.4

CVE-2019-6798

phpMyAdmin 4.5.04.8.4


漏洞概述


phpMyAdminphpMyAdmin团队开发的一套免费的、基于WebMySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,实行SQL脚本命令等。


phpMyAdmin 4.8.4之前版本中存在任意文件读取漏洞和Designer界面中的SQL注入漏洞,概述如下:

CVE-2019-6799

此攻击要求 phpMyAdmin AllowArbitraryServer指令设置为 true 来运行,而不是默认值。攻击者还必须通过伪装成MySQL服务器运行恶意服务器进程。利用此漏洞可以读取服务器上的任意文件。

CVE-2019-6798

此漏洞可以使用特定的用户名通过设计器功能触发SQL注入攻击。


修复建议


目前厂商已发布升级补丁以修复漏洞,请更新至phpMyAdmin 4.8.5. https://www.phpmyadmin.net/downloads/


参考链接


https://www.phpmyadmin.net/news/2019/1/26/security-fix-phpmyadmin-485-released/

https://www.phpmyadmin.net/security/PMASA-2019-1/

https://www.phpmyadmin.net/security/PMASA-2019-2/

https://www.phpmyadmin.net/downloads/