关键漏洞信息 漏洞名称: phpMyAdmin 3.1.0 (XSRF) SQL Injection Vulnerability CVE ID: CVE-2008-5621 风险等级: Medium CWE ID: CWE-352 (Cross-Site Request Forgery (CSRF)) CVSS Base Score: 6.10 CVSS Impact Subscore: 6.4/10 CVSS Exploitability Subscore: 6.8/10 风险评分 - Impact Subscore: 6.4/10 - Attack Complexity: Medium - Confidentiality Impact: Partial - Integrity Impact: Partial - Availability Impact: Partial 漏洞详情 影响版本: phpMyAdmin 3.1.0 漏洞类型: SQL Injection via XSRF 漏洞原因: 由于XSRF保护不完全,攻击者可以利用特定请求参数绕过保护,进行SQL注入攻击。 漏洞利用: - 利用 和 参数进行SQL注入攻击。 - 使用 函数中的白名单绕过保护,生成恶意的SQL语句并写入 文件。 影响: 可以实现远程代码执行,攻击者可以写入后门文件并控制服务器。 漏洞细节 SQL注入示例: 后门路径: - nix: - Windows: 防护建议**: - 修补phpMyAdmin版本,确保更新至最新版本。 - 强化XSRF防护机制,确保所有请求参数得到正确验证。 - 定期检查服务器上的可疑文件,防止后门文件的植入。