The phpMyAdmin development team reports :

By calling some scripts that are part of phpMyAdmin in an unexpected way, it is possible to trigger phpMyAdmin to display a PHP error message which contains the full path of the directory where phpMyAdmin is installed.

We consider these vulnerabilities to be non-critical.

This path disclosure is possible on servers where the recommended setting of the PHP configuration directive display_errors is set to on, which is against the recommendations given in the PHP manual for a production server.

phpMyAdmin 開発チームによる報告：

phpMyAdmin の一部である何らかのスクリプトを予期されない方法で呼び出すことで、phpMyAdmin に、phpMyAdmin がインストールされているディレクトリのフルパスが含まれる PHP エラーメッセージを表示させることができます。

弊社では、これらの脆弱性は重大ではないと考えています。

このパス漏洩は、PHP 構成ディレクティブ display_errors の推奨設定がオンに設定されているサーバーで発生する可能性があり、このような設定内容は、PHP マニュアルで示されている本番サーバー向けの推奨に反しています。

phpMyAdmin 开发团队报告：

通过以意外的方式调用 phpMyAdmin 的部分脚本，有可能触发 phpMyAdmin，从而显示 PHP 错误消息，其中包含 phpMyAdmin 安装目录所在的完整路径。

我们认为这些漏洞不严重。

在 PHP 配置指令 display_errors 的建议设置设为开启（没有遵照 PHP 手册中为生产服务器提供的建议）的服务器上可能存在此路径泄露。

phpMyAdmin 開發團隊報告：

如果以未預期的方式，呼叫屬於 phpMyAdmin 的指令碼，則可能會觸發 phpMyAdmin 來顯示 PHP 錯誤訊息，其中提供 phpMyAdmin 安裝目錄的完整路徑。

我們認為這些弱點非重大問題。

此路徑洩漏可能發生在 PHP 組態指示詞 display_errors 的建議設定設為開啟的伺服器上，此設定與實際執行伺服器的 PHP 手冊中所提供的建議相反。

phpMyAdmin was updated to 4.4.15.2 to fix one security issue and one non-security bug.

The following vulnerability was fixed :

  - CVE-2015-8669: It was possible to trigger phpMyAdmin to     display a PHP error message which contains the full path     of the directory where phpMyAdmin is installed     (boo#960282)

The following bug was fixed :

  - boo#960854: dependency of php-json was missing

According to its self-reported version, the phpMyAdmin application hosted on the remote web server is 4.0.x prior to 4.0.10.12, 4.4.x prior to 4.4.15.2, or 4.5.x prior to 4.5.3.1. It is, therefore, affected by an information disclosure vulnerability:

  - libraries/config/messages.inc.php in phpMyAdmin 4.0.x before 4.0.10.12, 4.4.x before 4.4.15.2, and 4.5.x     before 4.5.3.1 allows remote attackers to obtain sensitive information via a crafted request, which     reveals the full path in an error message. (CVE-2015-8669)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

根據其自我報告的版本，遠端 Web 伺服器上主控的 phpMyAdmin 應用程式為 4.0.10.12 之前的 4.0.x 版、4.4.15.2 之前的 4.4.x 版或 4.5.3.1 之前的 4.5.x 版。因此，該主機受到資訊洩漏弱點影響：

  - 在 phpMyAdmin 4.0.x 的 4.0.10.12 之前版本、4.4.x 的 4.4.15.2 之前版本，以及 4.5.x 的 4.5.3.1 之前版本中，libraries/config/messages.inc.php 允許遠端攻擊者透過特製的要求取得敏感資訊，其可在錯誤訊息中洩漏完整路徑。(CVE-2015-8669)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

phpMyAdmin 已更新至 4.4.15.2 版，修正了一個安全性問題和一個非安全性錯誤。

下列弱點已修正：

- CVE-2015-8669：可能會觸發 phpMyAdmin 來顯示 PHP 錯誤訊息，其中提供 phpMyAdmin 安裝目錄的完整路徑 (boo#960282)

下列錯誤已修正：

- boo#960854：遺漏 php-json 的相依性

phpMyAdmin が 4.4.15.2 に更新され、1 つのセキュリティ問題と 1 つの非セキュリティバグが修正されました。

次の脆弱性が修正されました：

- CVE-2015-8669：phpMyAdmin がインストールされているディレクトリのフルパスが含まれる PHP エラーメッセージを phpMyAdmin に表示させることができました（boo#960282）

次のバグが修正されました：

- boo#960854：php-json の依存関係がありませんでした

自己報告されたバージョンによると、リモートのWebサーバーでホストされているphpMyAdminアプリケーションは、4.0.10.12より前の 4.0.x、4.4.15.2より前の4.4.x、および4.5.3.1より前の4.5.xです。したがって、以下の情報漏洩の脆弱性の影響を受けます。

  -4.0.10.12より前の 4.0.x、4.4.15.2より前の 4.4.x、および 4.5.3.1より前の4.5.xphpMyAdminでの libraries/config/messages.inc.phpにより、リモートの攻撃者が、細工されたリクエストを介して機密情報を取得することが可能になり、エラーメッセージにフルパスが表示されます。（CVE-2015-8669）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

phpMyAdmin 已更新到 4.4.15.2 版，修复了一个安全问题和一个非安全缺陷。

修复了以下漏洞：

- CVE-2015-8669：可触发 phpMyAdmin 以显示 PHP 错误消息，其中包含安装了 phpMyAdmin 的完整目录路径 (boo#960282)

修复了以下缺陷：

- boo#960854：缺少 php-json 的依存关系

根据其自我报告的版本，远程 Web 服务器上托管的 phpMyAdmin 应用程序为低于 4.0.10.12 的 4.0.x、低于 4.4.15.2 的 4.4.x 或低于 4.5.3.1 的 4.5.x。因此，该主机受到信息泄露漏洞的影响：

  - 在版本低于 4.0.10.12 的 phpMyAdmin 4.0.x、低于 4.4.15.2 的 4.4.x 以及低于 4.5.3.1 的 4.5.x 中，远程攻击者可利用 libraries/config/messages.inc.php，通过构建的请求获取敏感信息，从而通过错误消息泄露完整路径。(CVE-2015-8669)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

ID	名稱	產品	系列	已發布	已更新	嚴重性
87614	FreeBSD : phpMyAdmin -- path disclosure vulnerability (88f75070-abcf-11e5-83d3-6805ca0b3d42)	Nessus	FreeBSD Local Security Checks	2015/12/29	2021/1/6	medium
87614	FreeBSD：phpMyAdmin -- パス漏洩の脆弱性（88f75070-abcf-11e5-83d3-6805ca0b3d42）	Nessus	FreeBSD Local Security Checks	2015/12/29	2021/1/6	medium
87614	FreeBSD：phpMyAdmin -- 路径泄露漏洞 (88f75070-abcf-11e5-83d3-6805ca0b3d42)	Nessus	FreeBSD Local Security Checks	2015/12/29	2021/1/6	medium
87614	FreeBSD：phpMyAdmin -- 路徑洩漏弱點 (88f75070-abcf-11e5-83d3-6805ca0b3d42)	Nessus	FreeBSD Local Security Checks	2015/12/29	2021/1/6	medium
88114	openSUSE Security Update : phpMyAdmin (openSUSE-2016-13)	Nessus	SuSE Local Security Checks	2016/1/25	2021/1/19	medium
144641	phpMyAdmin 4.0.0 < 4.0.10.12 / 4.4.0 < 4.4.15.2 / 4.5.0 < 4.5.3.1 Information Disclosure (PMASA-2015-6)	Nessus	CGI abuses	2020/12/30	2024/6/4	medium
144641	phpMyAdmin 4.0.0 < 4.0.10.12 / 4.4.0 < 4.4.15.2 / 4.5.0 < 4.5.3.1 資訊洩漏 (PMASA-2015-6)	Nessus	CGI abuses	2020/12/30	2024/6/4	medium
88114	openSUSE 安全性更新：phpMyAdmin (openSUSE-2016-13)	Nessus	SuSE Local Security Checks	2016/1/25	2021/1/19	medium
88114	openSUSE セキュリティ更新：phpMyAdmin（openSUSE-2016-13）	Nessus	SuSE Local Security Checks	2016/1/25	2021/1/19	medium
144641	phpMyAdmin 4.0.0 < 4.0.10.12 / 4.4.0 < 4.4.15.2 / 4.5.0 < 4.5.3.1 情報漏洩（PMASA-2015-6）	Nessus	CGI abuses	2020/12/30	2024/6/4	medium
88114	openSUSE 安全更新：phpMyAdmin (openSUSE-2016-13)	Nessus	SuSE Local Security Checks	2016/1/25	2021/1/19	medium
144641	phpMyAdmin 4.0.0 < 4.0.10.12 / 4.4.0 < 4.4.15.2 / 4.5.0 < 4.5.3.1 信息泄露漏洞 (PMASA-2015-6)	Nessus	CGI abuses	2020/12/30	2024/6/4	medium

偵測

搜尋 Plugin

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium