![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
phpMyAdmin 4.8 系において Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
phpMyAdmin 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています
脆弱性と脅威
エクスプロイト
phpMyAdmin 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています。攻撃者により脆弱性を悪用されてしまった場合、任意の PHP コードを実行されてホストに侵入されてしまう可能性があります。
◆分析者コメント
対象ホストのデータベースへの認証情報が必要となる脆弱性ですが、SELECT 文が発行できるアカウントでログインに成功すれば悪用可能な脆弱性であるため、ほぼすべてのデータベースアカウントが悪用可能です。アップデートや認証情報の強化はもちろんですが、ソフトウェアの性質上、インターネット経由でアクセスできないようにアクセス制限を確認することを推奨します。
◆深刻度(CVSS)
本記事執筆時点 (2018 年 7 月 19 日) で CVSS 値情報の公開はありません。
◆影響を受けるソフトウェア
phpMyAdmin 4.8 系のうち、バージョン 4.8.2 未満が当該脆弱性の影響を受けます。phpMyAdmin 4.7 以下は当該脆弱性の影響を受けません。
◆解説
世界的なシェアを誇るデータベース管理用 Web コンソールソフトウェアである phpMyAdmin のバージョン 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています。
関連記事
-
phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
-
Foxit Reader および Foxit Phantom Reader における Use-After-Free とメモリリークにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
-
Microsoft Windows OS においてライセンス認証プログラム slui.exe の仕組みを悪用して UAC を回避する手法(Scan Tech Report)
-
git コマンドにおけるディレクトリトラバーサルにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
Scan PREMIUM 会員限定記事
もっと見る-
国際サイバー諜報の参入障壁低下、ある国家支援アクターが採った「地産地消」戦略とは(The Register)
新たに発見されたスパイグループは、テーラーメードの攻撃ツール利用を避け、代わりにパッチの適用されていないシステムを狙って、ネットに公開されている、ありふれたエクスプロイトツールを使用している。
-
Laravel においてヘッダ情報のアンシリアライズ処理の不備を悪用して遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
PHP の開発フレームワークである Laravel に、遠隔から任意のコードが実行可能となる脆弱性が公開されています。
-
Mirai ボットマスターが禁固刑免れる、FBI 大絶賛の「社会奉仕」活動(The Register)
IoT 機器に感染し、それらをボットネット部隊に強制入隊させる Mirai マルウェアを操っていた主犯者 3 人が禁錮刑を免れた。
-
コードサイニング証明書を密売する企業が「証明書付マルウェア」の 流通を加速(The Register)
ハッカーがデジタルな認証手段を盗み出すのではなく、コードサイニング証明書に金を払うケースは増えている。認証手段を盗むとなると、手順が煩雑になることもあるからだ。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
「OpenAM(オープンソース版)」にパスワードを変更される脆弱性(JVN)
OSSのデータ可視化ツール「Metabase」にスクリプト実行の脆弱性(JVN)
月例セキュリティ情報を公開、9月分の適用後に確認された問題にも対応(IPA、JPCERT/CC)
「アダルトサイトを閲覧している姿を撮影した」脅迫メールの報告が急増(IPA)
Laravel においてヘッダ情報のアンシリアライズ処理の不備を悪用して遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
ソニー「Music Center for PC」に任意コード実行の脆弱性(JVN)
インシデント・事故 記事一覧へ
SEOプラットフォーム「MIERUCA」の一部サーバに不正アクセス(Faber Company)
外部からの不正アクセスでメールアドレスとパスワードが流出(メジカルビュー社)
「SOKAオンラインストア」への不正アクセス、偽の決済画面でカード情報を収集(聖教新聞社)
個人情報を含むSDカードを挿入したデジタルカメラを教室内で紛失(埼玉県)
「クレオ大阪東」貸室使用料の還付に関する書類を紛失(大阪市)
AO入試のWebエントリーシステム不具合、一部出願者の個人情報漏えい(慶應義塾大学)
調査・レポート・白書 記事一覧へ
狙われるテクノロジー業界、国家関与の犯罪集団も活発(CrowdStrike)
「SYNフラッド」が大幅減少、帯域幅枯渇を狙うDDoS攻撃が増加(CDNetworks)
1秒で291件、1日で2,500万件情報漏えい ~ 過去5年平均(ジェムアルト)
標的型攻撃メールや詐欺・悪質商法が増加--サイバー空間の脅威情勢(警視庁)
北朝鮮「APT38」詳細レポート(ファイア・アイ)
標的型攻撃メール訓練、失敗しないための準備・実施・改善ポイント
研修・セミナー・カンファレンス 記事一覧へ
![一人CSIRT 一人情シス、最強の製品・外注先選び [Internet Week 2018] 画像](/imgs/std_m/25541.jpg)
一人CSIRT 一人情シス、最強の製品・外注先選び [Internet Week 2018]
今年の課題はサイバー攻撃の被害調査、専門学校・高専生対象セキュリティコンテスト(MBSD)
セキュリティカンファレンス「2018 MPOWER Cybersecurity Summit」開催(マカフィー)
【サイバーセキュリティ・ミステリー】 「セキュリティ体制を整えれば整えるほどセキュリティ事故は多発」 学術研究結果 近日公表
MAC アドレス認証 これだけ危険 ~ Wi-Fi セキュリティ対策の誤解
![[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像](/imgs/std_m/25020.jpg)
![[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像](/imgs/std_m/24158.jpg)
![[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像](/imgs/std_m/22971.jpg)
![[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像](/imgs/std_m/22623.jpg)
