远程 Ubuntu 16.04 ESM / 18.04 ESM / 20.04 ESM 主机上安装的一个程序包受到 USN-5271-1 公告中提及的多个漏洞影响。

  - Adminer 4.7.8 及之前版本允许通过历史参数对默认 URI 发起 XSS 攻击。(CVE-2020-35572)

  - Adminer 是单个 PHP 文件中的开源数据库管理。版本 4.0.0 及 4.7.9 之前的 adminer 中存在一个服务器端请求伪造漏洞。捆绑所有驱动程序（如“adminer.php”）的 Adminer 版本的用户会都会受到影响。此缺陷已在版本 4.7.9 中修复。(CVE-2021-21311)

  - Adminer 是开源数据库管理软件。Adminer 版本 4.6.1 至 4.8.0 中的跨站脚本漏洞会影响 MySQL、MariaDB、PgSQL 和 SQLite 的用户。在大多数情况下，所有现代浏览器中严格的 CSP 都可以防止 XSS。唯一的例外是当 Adminer 使用 `pdo_` 扩展与数据库通信时（如果未启用本机扩展，则使用此扩展）。在没有 CSP 的浏览器中，Adminer 版本 4.6.1 到 4.8.0 会受到影响。此漏洞已在版本 4.8.1 中修复。作为变通方案，可以使用支持严格 CSP 的浏览器或启用本机 PHP 扩展（例如
    `mysqli`）或禁用显示 PHP 错误 (`display_errors`)。(CVE-2021-29625)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Ubuntu 16.04 ESM / 18.04 ESM / 20.04 ESM：Adminer 漏洞 (USN-5271-1)

high Nessus 插件 ID 183127

版本 1.3