GLSA-200906-03:phpMyAdmin:多个漏洞
high Nessus 插件 ID 39570
语言:
简介
远程 Gentoo 主机缺少一个或多个与安全有关的补丁。描述
远程主机受到 GLSA-200906-03 中所述漏洞的影响(phpMyAdmin:多个漏洞)phpMyAdmin:
Greg Ose 已报告发现多个漏洞,原因是因设置脚本未正确审查输入,导致任意 PHP 代码注入配置文件 (CVE-2009-1151)。
Manuel Lopez Gallego 和 Santiago Rodriguez Collazo 报告,“导出”页面中使用的 Cookie 数据未经正确审查 (CVE-2009-1150)。
影响:
未经身份验证的远程攻击者可利用第一个漏洞,以运行 phpMyAdmin 的用户权限执行任意代码,以及通过利用第二个漏洞执行跨站脚本攻击。
变通方案:
删除“scripts/setup.php”文件可保护您免受 CVE-2009-1151 影响。
解决方案
所有 phpMyAdmin 用户均应升级至最新版本:# emerge --sync # emerge --ask --oneshot --verbose '>=dev-db/phpmyadmin-2.11.9.5'
另见
插件详情
严重性: High
ID: 39570
文件名: gentoo_GLSA-200906-03.nasl
版本: 1.25
类型: local
发布时间: 2009/6/30
最近更新时间: 2022/12/5
支持的传感器: Nessus
风险信息
VPR
风险因素: Critical
分数: 9.4
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:gentoo:linux:phpmyadmin, cpe:/o:gentoo:linux
必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2009/6/29
漏洞发布日期: 2009/3/26
CISA 已知可遭利用的漏洞到期日期: 2022/4/15
可利用的方式
CANVAS (CANVAS)
Core Impact
Metasploit (PhpMyAdmin Config File Code Injection)
Elliot (Phpmyadmin File Upload)
参考资料信息
CVE: CVE-2009-1150, CVE-2009-1151
BID: 34251