![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
phpMyAdmin 4.8 系において Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
脆弱性と脅威 エクスプロイト
phpMyAdmin 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています。攻撃者により脆弱性を悪用されてしまった場合、任意の PHP コードを実行されてホストに侵入されてしまう可能性があります。
◆分析者コメント
対象ホストのデータベースへの認証情報が必要となる脆弱性ですが、SELECT 文が発行できるアカウントでログインに成功すれば悪用可能な脆弱性であるため、ほぼすべてのデータベースアカウントが悪用可能です。アップデートや認証情報の強化はもちろんですが、ソフトウェアの性質上、インターネット経由でアクセスできないようにアクセス制限を確認することを推奨します。
◆深刻度(CVSS)
本記事執筆時点 (2018 年 7 月 19 日) で CVSS 値情報の公開はありません。
◆影響を受けるソフトウェア
phpMyAdmin 4.8 系のうち、バージョン 4.8.2 未満が当該脆弱性の影響を受けます。phpMyAdmin 4.7 以下は当該脆弱性の影響を受けません。
◆解説
世界的なシェアを誇るデータベース管理用 Web コンソールソフトウェアである phpMyAdmin のバージョン 4.8 系に、Local File Inclusion により遠隔から任意のコードが実行可能となる脆弱性が報告されています。
関連記事
-
phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
-
Foxit Reader および Foxit Phantom Reader における Use-After-Free とメモリリークにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
-
Microsoft Windows OS においてライセンス認証プログラム slui.exe の仕組みを悪用して UAC を回避する手法(Scan Tech Report)
-
git コマンドにおけるディレクトリトラバーサルにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
Scan PREMIUM 会員限定記事
もっと見る-
国際20年後の同窓会:米上院公聴会と、ハッカーが変えられなかった未来(5)事態悪化(The Register)
>>(4)帰還
-
20年後の同窓会:米上院公聴会と、ハッカーが変えられなかった未来(4)帰還(The Register)
>>(3)ボクらは馬鹿正直過ぎた
-
FFRI 鵜飼裕司の Black Hat USA 2018 注目 Briefings(3)AI・機械学習と自動車
AI・機械学習を使っていく場合、まず「認知バイアス」に気をつけないといけませんよと。
-
FFRI 鵜飼裕司の Black Hat USA 2018 注目 Briefings(2)CPU とマルウェア
今回いつもとは違うところで、CPU 関連の研究発表がいくつかあって、ここを注力してみようかなと思っています。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
ネットからアクセス可能なスマートホームデバイス、日本で千台以上確認(Avast)
Intel製CPUの投機的実行機能に、メモリの内容を推測される脆弱性(JVN)
プリインストールを含む複数のAndroidおよびiOSアプリに、複数の脆弱性(JVN)
Androidアプリ「NoMachine」に、任意コード実行の脆弱性(JVN)
「Adobe Reader」「Acrobat」に複数の脆弱性(JPCERT/CC、IPA)
「Adobe Flash Player」に脆弱性、至急の対応を(JPCERT/CC、IPA)
インシデント・事故 記事一覧へ
確認を怠り児童手当現況届に関する通知を誤発送、25件分の個人情報が流出(つくば市)
パスワードリスト攻撃で6,458件のeoIDが不正ログイン被害(ケイ・オプティコム)
個人情報が含まれたパソコンを倉庫内で紛失、誤廃棄の可能性も(角田市)
dアカウントへの不正ログインで商品購入を確認、防止のため2段階認証の利用を呼びかけ(NTTドコモ)
生徒の個人情報が含まれたUSBメモリ紛失、帰宅途中飲食店で(千葉市)
個人情報を含むハードディスクがインターネット上で売買(埼玉県)
調査・レポート・白書 記事一覧へ
BEC受信経験は約4割、うち8.7%は見抜けず送金--実態調査(トレンドマイクロ)
モバイルバンキング型トロイの木馬の数が過去最大に--四半期レポート(カスペルスキー)
シニア層向けにスマートフォンの安全利用ガイドを無償提供(トレンドマイクロ)
Oracle Weblogic Serverの脆弱性を狙う攻撃が継続--観測レポート(IIJ)
日本企業のセキュリティ対策は着実に向上(PwC Japanグループ)
ランサムウェアの被害に遭った組織は35%、身代金は97%が支払わず(JPCERT/CC)
研修・セミナー・カンファレンス 記事一覧へ
利害調整にとらわれた現状打開の鍵はメガプレイヤーの影響力行使、Black Hat USA 2018 ジェフ・モス開会挨拶
韓国最大規模のサイバーセキュリティイベント ISEC2018 開催
FFRI 鵜飼裕司の Black Hat USA 2018 注目 Briefings(3)AI・機械学習と自動車
FFRI 鵜飼裕司の Black Hat USA 2018 注目 Briefings(2)CPU とマルウェア
FFRI 鵜飼裕司の Black Hat USA 2018 注目 Briefings(1)日本はグローバルセキュリティ業界のインナーサークルにいない
優勝賞金100万円「Trend Micro CTF 2018」9月15日オンライン予選(トレンドマイクロ)
製品・サービス・業界動向 記事一覧へ
フリーマーケットサイトでオリジナル教材のコピーを違法販売、法的措置を検討(伸芽会)
DEFCON 26 の Car Hacking Village のコンテストでイエラエセキュリティ佐藤氏圧勝
75万円からスポット利用できる「潜伏脅威診断サービス」(日商エレ)
企業向けのモバイル脅威対策ソリューションの新版(チェック・ポイント)
Firebox用OSをアップデート、Cylanceのマルウェア検知エンジンを搭載(ウォッチガード)
Contrast社のセキュリティ脆弱性検査製品を発売(NRIセキュア、UBSecure)
おしらせ 記事一覧へ
![[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像](/imgs/std_m/25020.jpg)
[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました
![[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像](/imgs/std_m/24158.jpg)
[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
![[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像](/imgs/std_m/22971.jpg)
[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました
![[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました 画像](/imgs/std_m/22623.jpg)
[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました
![[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ 画像](/imgs/std_m/22570.jpg)
[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ
![[配信予告] 新連載「ペネトレーションテスターは見た!」開始のおしらせ 画像](/imgs/std_m/21969.jpg)
