SQL-инъекция в phpMyAdmin

Дата публикации:
19.12.2005
Всего просмотров:
3032
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: phpMyAdmin 2.7.0

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует при обработке входных данных в параметрах db_name и checkprivs в сценарии server_privileges.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Пример:

http://victim/phpmyadmin/server_privileges.php
?server=1&checkprivs='

http://victim/phpmyadmin/server_privileges.php?
server=1&hostname='&username=1&dbname=1&tablename=1

URL производителя: www.phpmyadmin.net

Решение: Способов устранения уязвимости не существует в настоящее время.

Источники:

Ссылки: phpMyAdmin server_privileges.php SQL Injection Vulnerabilities

или введите имя

CAPTCHA