phpMyAdmin 'server_databases.php' 远程命令执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1186235 漏洞类型 跨站请求伪造
发布时间 2008-07-16 更新时间 2009-03-07
CVE编号 CVE-2008-3197 CNNVD-ID CNNVD-200807-296
漏洞平台 N/A CVSS评分 3.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200807-296
|漏洞详情
phpMyAdmin2.11.7.1之前版本中存在跨站请求伪造漏洞。远程攻击者通过对(1)"创建一个数据库"功能(db_create.php)中的db参数,和(2)与修改连接字符集的未明程序有关的convcharset和collation_connection参数中的一个链接或IMG标签来执行未认证操作。
|参考资料

来源:MISC
链接:http://yehg.net/lab/pr0js/advisories/XSRF_CreateDB_inPhpMyAdmin2.11.7.pdf
来源:MISC
链接:http://yehg.net/lab/pr0js/advisories/XSRF_ConvertCharset_inPhpMyAdmin2.11.7.pdf
来源:XF
名称:phpmyadmin-multi-csrf(43846)
链接:http://xforce.iss.net/xforce/xfdb/43846
来源:www.phpmyadmin.net
链接:http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2008-5
来源:www.phpmyadmin.net
链接:http://www.phpmyadmin.net/home_page/downloads.php?relnotes=0
来源:MLIST
名称:[oss-security]20080715CVErequest:phpmyadmin<2.11.7.1
链接:http://www.openwall.com/lists/oss-security/2008/07/15/6
来源:MANDRIVA
名称:MDVSA-2008:202
链接:http://www.mandriva.com/security/advisories?name=MDVSA-2008:202
来源:VUPEN
名称:ADV-2008-2116
链接:http://www.frsirt.com/english/advisories/2008/2116/references
来源:DEBIAN
名称:DSA-1641
链接:http://www.debian.org/security/2008/dsa-1641
来源:sourceforge.net
链接:http://sourceforge.net/project/shownotes.php?release_id=613660
来源:SECUNIA
名称:33822
链接:http://secunia.com/advisories/33822
来源:SECUNIA
名称:31115
链接:http://secunia