Announcement-ID: PMASA-2009-3
Дата: 2009-03-24
Сводка:
Недостаточная проверка выходных данных при создании конфигурационного файла.
Описание:
Скрипт установки используемый для создания конфигурационного файла может быть спровоцирован на вставку ложного POST запроса для включения произвольного кода внутрь конфигурационного файла. Сочетается с возможностью сохранения файлов на сервер, что может позволить неавторизованному пользователю произвольный PHP-код.
Серьезность:
Разработчики полагают, что эта уязвимость серьёзная.
Затронутые версии:
2.11.x версии phpMyAdmin до 2.11.9.5.
3.0.x версии phpMyAdmin до 3.1.3.1.
Решение:
Обновить phpMyAdmin до версии 2.11.9.5 или 3.1.3.1 или установить патч.
Патчи:
Revision 12301 применим ко всем веткам.