安裝在遠端伺服器上的 phpMyAdmin 版本是在 3.4.8 版之前的 3.4.x 版，其受到跨網站指令碼弱點的影響。嘗試重新命名資料庫時，未正確清理「js/db_operations.js」檔案中的資料庫名稱。

請注意，據報此版本受到其他數個跨網站指令碼弱點影響，不過 Nessus 尚未測試這些弱點。

遠端主機受到 GLSA-201201-01 中所述的弱點影響 (phpMyAdmin：多個弱點)

在 phpMyAdmin 中發現多個弱點。如需詳細資訊，請參閱下方提及的 CVE 識別碼和 phpMyAdmin 安全性公告。
 影響：

遠端攻擊者或許能夠插入並執行 PHP 程式碼、包括並執行本機 PHP 檔案，或是透過多種向量執行跨網站指令碼 (XSS) 攻擊。
 因應措施：

目前尚無已知的因應措施。

- 3.4.8 的更新

- 錯誤 #3425230 [介面] 以空白字元分割列舉資料 (更多可編輯的空間)

- 錯誤 #3426840 [介面] ENUM/SET 編輯器無法處理值中的逗點

- 錯誤 #3427256 [介面] 沒有可瀏覽的連結/檢視和表格為空

- 錯誤 #3430377 [介面] 刪除的搜尋結果保持可見

- 錯誤 #3428627 [匯入] ODS 匯入忽略記憶體限制

- 錯誤 #3426836 [介面] 視覺欄分隔

- 錯誤 #3428065 [剖析器] 剖析器未識別出 TRUE

+ 修補程式 #3433770 [組態] 使 php-gettext 位置可設定

- 修補程式 #3430291 [匯入] 處理某些 open_basedir 情況中的衝突

- 錯誤 #3431427 [顯示] 下拉式表單結果 - 設定 NULL 無作用

- 修補程式 #3428764 [編輯] 在多伺服器組態中內嵌編輯

- 修補程式 #3437354 [核心] 注意事項：PHP 5.4 中陣列到字串的轉換

- [介面] 當 ShowTooltipAliasTB 為 true　時，系統會在主面板 db 結構頁面中將 VIEW 錯誤顯示為檢視名稱

- 錯誤 #3439292 [核心] 無法同步欄與關鍵字名稱

- 錯誤 #3425156 [介面] 放置後新增欄

- [介面] 避免在 phpinfo() 的輸出中顯示密碼

- 錯誤 #3441572 [GUI]「phpMyAdmin 的較新版本」訊息未在 IE8 中顯示

- 錯誤 #3407235 [介面] 透過查閱視窗輸入金鑰不會重設 NULL

- [安全性] 資料庫名稱上的 Self-XSS (同步)，請參閱 PMASA-2011-18

- [安全性] 資料庫名稱上的 Self-XSS (作業/重新命名)，請參閱 PMASA-2011-18

- [安全性] 欄類型上的 Self-XSS (建立索引)，請參閱 PMASA-2011-18

- [安全性] 欄類型上的 Self-XSS (表格搜尋)，請參閱 PMASA-2011-18

- [安全性] 無效查詢上的 Self-XSS (表格概覽)，請參閱 PMASA-2011-18

phpMyAdmin 開發團隊報告：

可能利用特製的資料庫名稱，在「資料庫同步」和「資料庫重新命名」面板中造成 XSS。可能利用無效的特製 SQL 查詢，在表格概觀面板上編輯查詢時，或是使用檢視建立對話方塊時造成 XSS。
可能利用特製的欄類型，在表格搜尋和建立索引對話方塊中造成 XSS。

3.4.8.0 的變更 (2011 年 12 月 1 日)：

- [介面] 以空白字元分割列舉資料 (更多可編輯的空間)

- [介面] ENUM/SET 編輯器無法處理值中的逗點

- [介面] 沒有可瀏覽的連結/檢視和表格為空

- [介面] 刪除的搜尋結果保持可見

- [匯入] ODS 匯入忽略記憶體限制

- [介面] 視覺欄分隔

- [剖析器] 剖析器未識別出 TRUE

- [組態] 使 php-gettext 位置可設定

- [匯入] 處理某些 open_basedir 情況中的衝突

- [顯示] 下拉式表單結果 - 設定 NULL 無作用

- [編輯] 在多伺服器組態中內嵌編輯

- [核心] 注意事項：PHP 5.4 中陣列到字串的轉換

- [介面] 當 ShowTooltipAliasTB 為 true　時，系統會在主面板 db 結構頁面中將 VIEW 錯誤顯示為檢視名稱

- [核心] 無法同步欄與關鍵字名稱

- [介面] 放置後新增欄

- [介面] 避免在 phpinfo() 的輸出中顯示密碼

- [GUI]「phpMyAdmin 的較新版本」訊息未在 IE8 中顯示

- [介面] 透過查閱視窗輸入金鑰不會重設 NULL

- [安全性] 資料庫名稱上的 Self-XSS (同步、作業/重新命名)，請參閱 PMASA-2011-18 (http://www.phpmyadmin.net/home_page/security/PMASA-2011-18.php)

- [安全性] 欄類型上的 Self-XSS (建立索引、表格搜尋)，請參閱 PMASA-2011-18 (http://www.phpmyadmin.net/home_page/security/PMASA-2011-18.php)

- [安全性] 無效查詢上的 Self-XSS (表格概覽)，請參閱 PMASA-2011-18 (http://www.phpmyadmin.net/home_page/security/PMASA-2011-18.php)

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

ID	名稱	產品	系列	已發布	已更新	嚴重性
57337	phpMyAdmin 3.4.x < 3.4.8 XSS (PMASA-2011-18)	Nessus	CGI abuses : XSS	2011/12/19	2022/4/11	medium
57433	GLSA-201201-01 : phpMyAdmin：多個弱點	Nessus	Gentoo Local Security Checks	2012/1/5	2021/1/6	critical
74539	openSUSE 安全性更新：phpMyAdmin (openSUSE-2011-94)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/14	medium
56988	FreeBSD : phpMyAdmin -- 多個 XSS (ed536336-1c57-11e1-86f4-e0cb4e266481)	Nessus	FreeBSD Local Security Checks	2011/12/2	2021/1/6	medium
57326	Fedora 16 : phpMyAdmin-3.4.8-1.fc16 (2011-16768)	Nessus	Fedora Local Security Checks	2011/12/19	2021/1/11	medium
57327	Fedora 15 : phpMyAdmin-3.4.8-1.fc15 (2011-16786)	Nessus	Fedora Local Security Checks	2011/12/19	2021/1/11	medium

偵測

搜尋 Plugin

medium

critical

medium

medium

medium

medium