Security Lab

Удаленное выполнение произвольного кода в phpMyAdmin (+эксплоит)

Дата публикации:01.07.2004
Дата изменения:16.10.2006
Всего просмотров:4363
Опасность:
Критическая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: phpMyAdmin 2.5.7

Описание: Уязвимость в phpMyAdmin позволяет удаленному пользователю выполнить произвольный PHP код на целевой системе.

Уязвимость присутствует в конфигурациях, в которых $cfg['LeftFrameLight'] установлена как FALSE в 'config.inc.php' конфигурационном файле. Удаленный пользователь может добавить конфигурацию сервера к $cfg['Servers'][$i] списку серверов. Затем удаленный пользователь может заставить целевой сервер выполнить произвольный PHP код.

Пример/Эксплоит: http://www.securitylab.ru/_Exploits/2004/07/phpmyadmin.c.txt

URL производителя:http://www.phpmyadmin.net/home_page/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: php codes injection in phpMyAdmin version 2.5.7.