phpMyAdmin 是一个 PHP 应用程式,以通过网页界面处理和管理 MySQL 或 MariaDB 。phpMyAdmin 发布了安全性更新以应对当中的三个漏洞。授权的本机攻击者可攻击设定储存表(configuration storage tables)内的漏洞以泄漏档案内容,或通过特制的数据库或报表名称传送含有恶意负载(malicious payload)至目标网站管理员。远端攻击者也可诱使目标网站管理员按下特制的连结以攻击一个跨网址请求伪造(cross-site request forgery (XSRF/CSRF))漏洞。
成功利用这个漏洞的攻击者可导致受影响的系统泄漏资讯、注入恶意程式码或进行未经授权的数据库操作。
供应商已在其网站上发行了4.8.4版本以应对以上问题。
https://www.phpmyadmin.net/downloads/
系统管理员可联络其产品支援供应商,以取得修补程式及有关支援。
系统管理员亦建议加强至phpMyAdmin的存取控制(access control)以仅允许来自内部网络的访问。若需要进行遥距控制,管理员应考虑使用保安渠道(包括虚拟私人网络(VPN)) 来保护管理平台。
https://www.phpmyadmin.net/news/2018/12/11/security-fix-phpmyadmin-484-released/
https://www.phpmyadmin.net/security/PMASA-2018-6/
https://www.phpmyadmin.net/security/PMASA-2018-7/
https://www.phpmyadmin.net/security/PMASA-2018-8/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19968
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19969
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19970