phpMyAdmin 4.8 系において Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2020.04.05(日)

phpMyAdmin 4.8 系において Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

phpMyAdmin 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています

脆弱性と脅威 エクスプロイト
◆概要

phpMyAdmin 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています。攻撃者により脆弱性を悪用されてしまった場合、任意の PHP コードを実行されてホストに侵入されてしまう可能性があります。

◆分析者コメント

対象ホストのデータベースへの認証情報が必要となる脆弱性ですが、SELECT 文が発行できるアカウントでログインに成功すれば悪用可能な脆弱性であるため、ほぼすべてのデータベースアカウントが悪用可能です。アップデートや認証情報の強化はもちろんですが、ソフトウェアの性質上、インターネット経由でアクセスできないようにアクセス制限を確認することを推奨します。

◆深刻度(CVSS)

本記事執筆時点 (2018 年 7 月 19 日) で CVSS 値情報の公開はありません。

◆影響を受けるソフトウェア

phpMyAdmin 4.8 系のうち、バージョン 4.8.2 未満が当該脆弱性の影響を受けます。phpMyAdmin 4.7 以下は当該脆弱性の影響を受けません。

◆解説

世界的なシェアを誇るデータベース管理用 Web コンソールソフトウェアである phpMyAdmin のバージョン 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています。
《株式会社ラック サイバー・グリッド研究所》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×