Security Lab

SQL-инъекция в phpMyAdmin

Дата публикации:19.12.2005
Всего просмотров:4451
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: phpMyAdmin 2.7.0

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения.

Уязвимость существует при обработке входных данных в параметрах db_name и checkprivs в сценарии server_privileges.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Пример:

http://victim/phpmyadmin/server_privileges.php
?server=1&checkprivs='

http://victim/phpmyadmin/server_privileges.php?
server=1&hostname='&username=1&dbname=1&tablename=1

URL производителя: www.phpmyadmin.net

Решение: Способов устранения уязвимости не существует в настоящее время.

Источники:

Ссылки: phpMyAdmin server_privileges.php SQL Injection Vulnerabilities