В phpMyAdmin найдена критическая уязвимость
Эксперты по информационной безопасности обнаружили уязвимости в phpMyAdmin, веб-интерфейсе для администирования баз данных MySQL.
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS-нападение, получить доступ к важным данным и выполнить произвольный PHP-код на системе. Уязвимость существует из-за ошибки в уровне эмуляции register_globals в сценарии grab_globals.php. Поскольку переменная import_blacklist недостаточной защищена, она может быть модифицирована атакующим. Кроме того, злоумышленник также может контролировать путь к подключаемому файлу. Удаленный пользователь может с помощью специально сформированного запроса изменить значение переменной import_blacklist и произвести XSS-нападение, подключить и выполнить произвольные локальные и удаленные сценарии на целевой системе с привилегиями веб-сервера.
"Дырам" присвоен рейтинг опасности "критическая". Уязвим phpMyAdmin 2.7.0. Для использования уязвимостей нет эксплойта. Для решения проблемы установите последнюю версию (2.7.0-pl1) с сайта производителя, сообщил Securitylab.
Мнение IT специалистов: как относятся к AMD в России?
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS-нападение, получить доступ к важным данным и выполнить произвольный PHP-код на системе. Уязвимость существует из-за ошибки в уровне эмуляции register_globals в сценарии grab_globals.php. Поскольку переменная import_blacklist недостаточной защищена, она может быть модифицирована атакующим. Кроме того, злоумышленник также может контролировать путь к подключаемому файлу. Удаленный пользователь может с помощью специально сформированного запроса изменить значение переменной import_blacklist и произвести XSS-нападение, подключить и выполнить произвольные локальные и удаленные сценарии на целевой системе с привилегиями веб-сервера.
"Дырам" присвоен рейтинг опасности "критическая". Уязвим phpMyAdmin 2.7.0. Для использования уязвимостей нет эксплойта. Для решения проблемы установите последнюю версию (2.7.0-pl1) с сайта производителя, сообщил Securitylab.
Мнение IT специалистов: как относятся к AMD в России?
Ещё новости по теме:
18:20