已針對 phpmyadmin 報告下列套件 CVE。

CVE-2020-10802

在 phpMyAdmin 4.9.5 之前的 4.x 版本中發現 SQL 插入弱點，即在針對  libraries/classes/Controllers/Table/TableSearchController.php 中的搜尋動作產生特定查詢時，某些參數未正確逸出。攻擊者可產生建構的資料庫或表格名稱。如果使用者嘗試對惡意資料庫或表格執行特定搜尋作業，就可觸發此攻擊。

CVE-2020-10803

在 phpMyAdmin 4.9.5 之前的 4.x 版本中發現 SQL 插入弱點，攻擊者可利用此弱點，透過擷取和顯示 (tbl_get_field.php and libraries/classes/Display/Results.php 中的) 結果，使用惡意程式碼觸發 XSS 攻擊。攻擊者必須能夠將建構的資料插入特定資料庫表格，這些資料可在 (例如透過「瀏覽」索引標籤) 擷取時觸發 XSS 攻擊。

針對 Debian 8「Jessie」，已在 4:4.2.12-2+deb8u9 版本中修正這些問題。

建議您升級 phpmyadmin 套件。

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

偵測

Debian DLA-2154-1：phpmyadmin 安全性更新

high Nessus Plugin ID 134771

版本 1.6