phpMyAdmin 已更新到 4.1.14.4 (2014-09-13)，修复了多个缺陷和安全问题。

- PMASA-2014-10（CVE-2014-6300、CWE-661 CWE-352）http://www.phpmyadmin.net/home_page/security/PMASA-2014-10.php

已修复基于 DOM 的 XSS，此缺陷会导致 CSRF 在某些条件下创建 ROOT 帐户。

phpMyAdmin 4.2.8.1 (2014/9/13) ===============================

- [安全] 基于 DOM 的 XSS 会导致 CSRF 在某些条件下创建 ROOT 帐户

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

更新后的 phpmyadmin 程序包修复了安全漏洞：

在低于 4.2.9 的 phpMyAdmin 中，利用微历史记录功能中基于 DOM 的 XSS 漏洞，通过欺骗已登录的用户点击构建的 URL，可能执行远程代码执行攻击，在某些情况下，还可以创建根帐户 (CVE-2014-6300)。

phpMyAdmin 开发团队报告：

微历史记录功能中基于 DOM 的 XSS 造成的 XSRF/CSRF。

可利用微历史记录功能中基于 DOM 的 XSS 漏洞，通过欺骗已登录的用户点击构建的 URL，执行远程代码执行攻击，在某些情况下，还可以创建根帐户。

根据其自我报告的版本号，远程 Web 服务器上托管的 phpMyAdmin 应用程序为低于 4.0.10.3 的 4.0.x、低于 4.1.14.4 的 4.1.x 或低于 4.2.8.1 的 4.2.x。因此，它受到与“微历史记录”功能相关的输入验证错误的影响，可允许基于 DOM 的跨站脚本攻击，从而进一步导致跨站请求伪造攻击。

请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

远程主机受到 GLSA-201505-03 中所述漏洞的影响（phpMyAdmin：多个漏洞）

    已在 phpMyAdmin 中发现多种漏洞。请检查下方引用的 CVE 标识符以了解详细信息。
  影响：

    经认证的远程攻击者可利用这些漏洞，通过构建的参数来包括和执行任意本地文件、注入 SQL 代码或实施跨站脚本攻击。
  变通方案：

    目前无任何已知的变通方案。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
77804	openSUSE 安全更新：phpMyAdmin (openSUSE-SU-2014:1150-1)	Nessus	SuSE Local Security Checks	2014/9/23	2021/1/19	medium
77873	Fedora 19：phpMyAdmin-4.2.8.1-2.fc19 (2014-10989)	Nessus	Fedora Local Security Checks	2014/9/26	2021/1/11	medium
77840	Mandriva Linux 安全公告：phpmyadmin (MDVSA-2014:183)	Nessus	Mandriva Local Security Checks	2014/9/25	2021/1/6	medium
77679	FreeBSD：phpMyAdmin -- 微历史记录功能中基于 DOM 的 XSS 造成的 XSRF/CSRF (cc627e6c-3b89-11e4-b629-6805ca0b3d42)	Nessus	FreeBSD Local Security Checks	2014/9/15	2021/1/6	medium
77702	phpMyAdmin 4.0.x < 4.0.10.3 / 4.1.x < 4.1.14.4 / 4.2.x < 4.2.8.1 微历史记录 XSS 和 XSRF 漏洞 (PMASA-2014-10)	Nessus	CGI abuses	2014/9/16	2022/4/11	medium
77797	Fedora 21：phpMyAdmin-4.2.8.1-2.fc21 (2014-10885)	Nessus	Fedora Local Security Checks	2014/9/23	2021/1/11	medium
77872	Fedora 20：phpMyAdmin-4.2.8.1-2.fc20 (2014-10981)	Nessus	Fedora Local Security Checks	2014/9/26	2021/1/11	medium
83912	GLSA-201505-03 : phpMyAdmin：多个漏洞	Nessus	Gentoo Local Security Checks	2015/6/1	2021/1/11	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium

medium