phpMyAdmin 3.x >= 3.3.1 / 4.x < 4.1.7 import.php XSS (PMASA-2014-1)

low Nessus Plugin ID 72714

概要

遠端網頁伺服器主控的 PHP 應用程式受到跨網站指令碼弱點影響。

說明

根據其自我識別的版本號碼,遠端 Web 伺服器上主控的 phpMyAdmin 安裝為 3.3.1 之前的 3.x 版或 4.1.7 之前的 4.x 版。因此受到一個跨網站指令碼弱點影響,這是因為 'import.php' 指令碼未正確清理匯入檔案的檔案名稱。

解決方案

升級至 phpMyAdmin 4.1.7 或更新版本,或是從參照連結套用修補程式。

另請參閱

http://www.nessus.org/u?33815603

http://www.phpmyadmin.net/home_page/security/PMASA-2014-1.php

Plugin 詳細資訊

嚴重性: Low

ID: 72714

檔案名稱: phpmyadmin_pmasa_2014_1.nasl

版本: 1.8

類型: remote

已發布: 2014/2/26

已更新: 2024/6/4

組態: 啟用 Paranoid 模式, 啟用徹底檢查

支援的感應器: Nessus

Enable CGI Scanning: true

風險資訊

VPR

風險因素: Low

分數: 3.0

CVSS v2

風險因素: Low

基本分數: 3.5

時間分數: 3

媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N

弱點資訊

CPE: cpe:/a:phpmyadmin:phpmyadmin

必要的 KB 項目: www/PHP, Settings/ParanoidReport, www/phpMyAdmin

排除在外的 KB 項目: Settings/disable_cgi_scanning

可輕鬆利用: No exploit is required

修補程式發佈日期: 2014/2/9

弱點發布日期: 2014/2/15

參考資訊

CVE: CVE-2014-1879

BID: 65717

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990