当前位置: 安全纵横 > 安全公告

安恒安全服务团队发现phpMyaAmin最新版跨站漏洞

安恒安全服务小组于近日发现phpMyAdmin最新版本3.3.1存在多处比较严重的跨站脚本漏洞,通过结合钓鱼攻击,将会对最终用户造成严重信息泄密等危害。安恒公司已经及时通知phpMyAdmin安全管理小组。

更新日期:2009-03-16

受影响系统
phpMyAdmin 3.3.1
phpMyAdmin 3.X.X

描述
phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。
phpMyAdmin多个文件中未检验传递参数合法性,远程攻击者可以通过提交恶意请求执行跨站请求伪造攻击或钓鱼攻击,如果用户受骗跟随了恶意链接的话就会导致在用户浏览器会话中执行任意HTML和脚本代码。

厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此系统软件的用户随时关注厂商的官网以获取最新版本:
http://www.phpmyadmin.net/home_page/version.php

建议使用明御WEB应用防火墙可以避免此漏洞产生的危害。