PHP-инклюдинг и межсайтовый скриптинг в phpMyAdmin

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, получить доступ к важным данным и выполнить произвольный PHP код на системе.

Уязвимость существует из-за ошибки в уровне эмуляции register_globals в сценарии "grab_globals.php". Поскольку переменная "import_blacklist" недостаточной защищена, она может быть модифицирована атакующим. Кроме того, злоумышленник также может контролировать путь к подключаемому файлу. Удаленный пользователь может с помощью специально сформированного запроса изменить значение переменной "import_blacklist" и произвести XSS нападение, подключить и выполнить произвольные локальные и удаленные сценарии на целевой системе с привилегиями Web сервера.

Примечание:
Инклюдинг удаленных сценариев возможен непосредственно в PHP 5 с помощью ftp:// URLs. В php 4.x возможны другие пути включения файлов (например, с помощью уязвимого сценария PEAR.php, если установлена версия PHP до 4.3.11).

URL производителя: www.phpmyadmin.net

Решение: Установите последнюю версию (2.7.0-pl1) с сайта производителя.

Источник: