漏洞信息详情
phpMyadmin XML实体引用信息泄露漏洞
- CNNVD编号:CNNVD-201111-133
- 危害等级: 中危
- CVE编号: CVE-2011-4107
- 漏洞类型: 信息泄露
- 发布时间: 2011-11-08
- 威胁类型: 远程
- 更新时间: 2011-11-18
- 厂 商: phpmyadmin
- 漏洞来源:
漏洞简介
phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。
phpMyAdmin的libraries/import/xml.php在处理XML数据时存在错误,可被利用泄露某些本地文件,并通过发送包含外部实体引用的特制XML数据在本地网络上执行某些操作。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.phpmyadmin.net/home_page/security/PMASA-2011-17.php
参考网址
来源: bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=751112
来源: XF
名称: phpmyadmin-xml-info-disclosure(71108)
链接:http://xforce.iss.net/xforce/xfdb/71108
来源: www.wooyun.org
链接:http://www.wooyun.org/bugs/wooyun-2010-03185
来源: BID
名称: 50497
链接:http://www.securityfocus.com/bid/50497
来源: www.phpmyadmin.net
链接:http://www.phpmyadmin.net/home_page/security/PMASA-2011-17.php
来源: SECUNIA
名称: 46447
链接:http://secunia.com/advisories/46447
来源: FULLDISC
名称: 20111102 PhpMyAdmin Arbitrary File Reading
链接:http://seclists.org/fulldisclosure/2011/Nov/21
来源: packetstormsecurity.org
链接:http://packetstormsecurity.org/files/view/106511/phpmyadmin-fileread.txt
来源: OSVDB
名称: 76798
链接:http://osvdb.org/76798
来源:SECUNIA
名称:46870
链接:http://secunia.com/advisories/46870 来源:NSFOCUS 名称:18117 链接:http://www.nsfocus.net/vulndb/18117
受影响实体
- Phpmyadmin Phpmyadmin:3.4.0.0
- Phpmyadmin Phpmyadmin:3.4.1.0
- Phpmyadmin Phpmyadmin:3.4.2.0
- Phpmyadmin Phpmyadmin:3.4.6
- Phpmyadmin Phpmyadmin:3.4.5.0
补丁
- phpMyAdmin-3.4.7.1-all-languages
- phpMyAdmin-3.3.10.5-all-languages
- phpMyAdmin-3.4.7.1-all-languages
- phpMyAdmin-3.3.10.5-all-languages
- phpMyAdmin-3.3.10.5-all-languages
评论