English

◀◁ 뒤로 취약점ID 210175 위험도 40 포트 80, ... 프로토콜 TCP 분류 CGI 상세설명 원격 웹 서버에 phpMyAdmin 4.8.5 이전 4.0.x 버전이 가동 중입니다. 해당 버전은 다중 취약점이 존재합니다. - AllowArbitraryServer 설정을 true로 설정하면 가짜 MySQL 서버를 사용하여 공격자는 웹 서버 사용자가 액세스 할 수 있는 서버상의 모든 파일을 읽을 수 있습니다. phpMyadmin은 LOAD DATA INFILE의 사용을 차단하려고 시도하지만 버그로 인해 PHP에서 이 체크는 받아 들여지지 않습니다. 또한 'MySQL'확장자를 사용하면 기본적으로 mysql.allow_local_infile이 활성화됩니다. 이 두 조건 모두 공격을 허용합니다. (CVE-2019-6799) - 특별히 제작 된 사용자 이름을 사용하여 디자이너 기능을 통해 SQL 주입 공격을 트리거 할 수 있는 취약점이 존재합니다. (CVE-2019-6798) * 참고 사이트: https://www.phpmyadmin.net/security/PMASA-2019-1/ https://www.phpmyadmin.net/security/PMASA-2019-2/ * 영향을 받는 플랫폼: phpMyAdmin 4.8.5 버전 이전의 4.x 모든 운영체제 모든 버전 해결책 다음 phpMyAdmin 다운로드 웹 페이지에서 구할 수 있는 phpMyAdmin의 가장 최신 버전(4.8.5 이후)으로 업그레이드 하여야 한다: http://www.phpmyadmin.net/home_page/downloads.php 관련 URL CVE-2019-6798,CVE-2019-6799 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)