phpMyAdmin 已更新至 4.1.14.4 (2014-09-13)，修正了錯誤和安全性問題。

- PMASA-2014-10 (CVE-2014-6300、CWE-661 CWE-352) http://www.phpmyadmin.net/home_page/security/PMASA-2014-10.php

會導致 CSRF 的 DOM 型 XSS 已修正，CSRF 在特定情況下會建立 ROOT 帳戶。

更新版 phpmyadmin 套件可修正安全性弱點：

在 4.2.9 版之前的 phpMyAdmin 中，藉由誘騙已登入的使用者點擊特製 URL，可導致遠端程式碼執行，甚至在某些情況下建立 root 帳戶，這是因為巨集歷程記錄功能中有 DOM 型 XSS 弱點所導致 (CVE-2014-6300)。

phpMyAdmin 4.2.8.1 (2014/9/13) ===============================

- [安全性] DOM 型 XSS 會導致 CSRF，CSRF 在特定情況下會建立 ROOT 帳戶

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

phpMyAdmin 開發團隊報告：

微觀歷程記錄功能中的 DOM 型 XSS 所導致的 XSRF/CSRF。

藉由誘騙已登入的使用者點擊特製 URL，可導致遠端程式碼執行，甚至在某些情況下建立 root 帳戶，這是因為微觀歷程記錄功能中的 DOM 型 XSS 弱點所致。

根據其自我報告的版本號碼，遠端 Web 伺服器上主控的 phpMyAdmin 應用程式為 4.0.10.3 之前的 4.0.x 版、 4.1.14.4 之前的 4.1.x 版或 4.2.8.1 之前的 4.2.x 版。因此受到一個輸入驗證錯誤影響，其與「微觀歷程記錄」功能有關，可允許 DOM 型跨網站指令碼攻擊，而這類攻擊可進一步導致跨網站要求偽造攻擊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機受到 GLSA-201505-03 中所述的弱點影響 (phpMyAdmin：多個弱點)

    在 phpMyAdmin 中發現多個弱點。如需詳細資訊，請檢閱下方提及的 CVE 識別碼。
  影響：

    經過驗證的遠端攻擊者可惡意利用這些弱點，透過特製的參數，從而納入並執行任意本機檔案、插入 SQL 程式碼，或是執行跨網站指令碼攻擊。
  因應措施：

    目前尚無已知的因應措施。

ID	名稱	產品	系列	已發布	已更新	嚴重性
77804	openSUSE 安全性更新：phpMyAdmin (openSUSE-SU-2014:1150-1)	Nessus	SuSE Local Security Checks	2014/9/23	2021/1/19	medium
77840	Mandriva Linux 安全性公告：phpmyadmin (MDVSA-2014:183)	Nessus	Mandriva Local Security Checks	2014/9/25	2021/1/6	medium
77873	Fedora 19 : phpMyAdmin-4.2.8.1-2.fc19 (2014-10989)	Nessus	Fedora Local Security Checks	2014/9/26	2021/1/11	medium
77679	FreeBSD：phpMyAdmin -- 微觀歷程記錄功能中的 DOM 型 XSS 所導致的 XSRF/CSRF (cc627e6c-3b89-11e4-b629-6805ca0b3d42)	Nessus	FreeBSD Local Security Checks	2014/9/15	2021/1/6	medium
77702	phpMyAdmin 4.0.x < 4.0.10.3 / 4.1.x < 4.1.14.4 / 4.2.x < 4.2.8.1 微觀歷程記錄 XSS 和 XSRF 弱點 (PMASA-2014-10)	Nessus	CGI abuses	2014/9/16	2022/4/11	medium
77797	Fedora 21 : phpMyAdmin-4.2.8.1-2.fc21 (2014-10885)	Nessus	Fedora Local Security Checks	2014/9/23	2021/1/11	medium
77872	Fedora 20 : phpMyAdmin-4.2.8.1-2.fc20 (2014-10981)	Nessus	Fedora Local Security Checks	2014/9/26	2021/1/11	medium
83912	GLSA-201505-03：phpMyAdmin：多個弱點	Nessus	Gentoo Local Security Checks	2015/6/1	2021/1/11	medium

偵測

搜尋 Plugin

medium

medium

medium

medium

medium

medium

medium

medium