知识屋:更实用的电脑技术知识网站
所在位置:首页 > 网络安全 > 安全资讯

phpMyadmin爆任意文件读取漏洞

发布时间:2012-08-22 16:02:18作者:知识屋

国内80sec安全团队近期发布了一个XML解析的漏洞警告,尽管该漏洞类型较为古老,但是目前还是有很多的应用受影响,问题出在XML解析的 时候外部实体带来的问题,通过构造特殊的XML格式文件,如果应用尝试解析就会导致问题,在很多的场景中譬如rss订阅和xml文件解析都会存在问题。

  由于该漏洞与xml解析底层的细节有关,所以对于PHP来讲,一些DOM和simplexml函数会受影响,但是使用expat的xml_parse函数则不受影响,80sec称已经在多个互联网公司的应用中发现了问题,并且问题将通过WooYun漏洞平台提交给厂商

  预警链接:http://www.80sec.com/xml-entity-injection.html

  漏洞链接:http://www.wooyun.org/bugs/wooyun-2010-03185

  80sec随后证明所有版本PhpMyadmin也受此问题影响,在普通权限登录进PhpMyadmin之后即可利用此漏洞读取服务器上的文件,目前该问题已经反馈给PhpMyadmin官方团队,并且已经确认,问题证明截图如下:

phpMyadmin爆任意文件读取漏洞
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜