phpMyAdmin发布新版本,修复多个安全漏洞
phpMyAdmin昨日发布新版本4.8.4,修复了多个安全漏洞。在前几日(12月9号)phpMyAdmin官方就已经放出更新预告,提醒用户将于11日下午至晚间进行安全更新,漏洞详情也将在更新时披露详情。
主要修复了3个安全漏洞
CVE-2018-19968 本地文件包含漏洞
此漏洞影响版本4.0到4.8.3,攻击者可利用其transformation功能读取服务器本地文件。
更新commit如下:Github
CVE-2018-19969 CSRF漏洞
此漏洞影响版本4.7.0到4.7.6及4.8.0到4.8.3,如果成功利用,攻击者可实现执行任意SQL语句、增删用户及密码等恶意操作。
更新commit如下(多个):Github
CVE-2018-19970 XSS漏洞
此漏洞同样影响版本4.0到4.8.3,存在于导航栏处。攻击者可利用特殊数据库或表名注入恶意代码。
更新commit如下:Github
phpMyAdmin已更新新版及部分独立补丁
用户应及时更新至4.8.4,或者安装对应的独立安全补丁。
参考链接
https://www.phpmyadmin.net/news/2018/12/11/security-fix-phpmyadmin-484-released/