根据其自识别的版本号，远程 Web 服务器上托管的 phpMyAdmin 3.5.x 或 4.x 安装低于 4.0.5，因此包含一个缺陷，即，“Header.class.php”脚本未正确审查输入。这可允许攻击者绕过应用程序的点击劫持保护。

phpMyAdmin 4.2.6.0 (2014/7/17) ===============================

- 未定义的索引警告，含引用的列。

- 返回 BROWSING 时会忽略 $cfg['MaxExactCount']

- 多列排序（改进了用户体验）

- 处于 setup/mysqli 中时，服务器验证无效

- 网格编辑外键列时出现未定义变量

- mult_submits.inc.php 未定义变量错误

- 排序破坏复制列功能

- 重命名表时出现 JavaScript 错误

-“新窗口”链接（自链）消失，导致 JavaScript 错误

- 未正确检测例程创建的权限

- 扩展时无法点击数据库名称的头几个字符

- [安全性] 由于非转义表注释而产生 XSS 注入

- [安全性] 由于非转义表名（触发器）而产生 XSS 注入

- [安全性] AJAX 确认消息中的 XSS

- [安全性] 缺少访问用户组功能的验证

phpMyAdmin 4.2.5.0 (2014/6/26) ===============================

- 出于安全原因，已禁用 shell_exec()

- 提交空查询时出错

- 致命错误：未找到“PMA_DatabaseInterface”类

- 已修复基于 Cookie 的登录，以在没有 mcrypt 的情况下进行安装

- 使用子句时，结果计数不正确

- mcrypt：删除要求（64 位）和相关警告

phpMyAdmin 4.2.4.0 (2014/6/20) ===============================

- MediaWiki 导出未生成表格标头行；同时修复了相关的 PHP 警告

- 每次都会向查询添加新行

- 加入查询的 SQL 导出中存在致命错误

- 以十六进制表示的转储二进制列不起作用

- 重新为每个会话生成 Cookie 加密 IV

- 无法导入 (open_basedir)：修复另一个情况

- SQL 选项卡 - 插入查询未显示受影响的行计数

- 在多服务器配置中缺少有关现有帐户的警告

- 可以不定义 WHERE 子句

- 忽略作为表格选项的 SQL 导出视图

- [安全性] 由于在导航隐藏中存在非转义的数据库/表格名称而产生 XSS 注入

- [安全性] 由于在最近/收藏夹表格中存在非转义的数据库/表格名称而产生 XSS 注入

phpMyAdmin 4.2.3.0 (2014/6/8) ===============================

- 字段移动不起作用

- 表格索引在更改字段之后消失

- 在服务器级别显示图表时出错

- 无法导入 (open_basedir)

- 复制限制（例如 Sakila）时出现问题

- 缺少权限子菜单

- 终止用户时终止数据库确认消息

- 插入含功能下拉列表的表单数值字段

- 由于未实施支持的最低版本的 MySQL 而出现问题

- 添加支持的最低 PHP 版本 (5.3.0) 的实施

- 提交包含禁用的输入字段的列更改表单时出现查询错误

- 从用户组生成的菜单选项卡不正确

- 索引创建/编辑生成的查询中缺少空格

- 取消选中“显示 SQL 查询”导致 NaN

phpMyAdmin 4.2.2.0 (2014/5/20) ===============================

- 单击导航树中的数据库名称时抛出错误 500，并禁用数据库扩展

- 以表格显示 performance_schema 数据库结构

- 保护二进制列：多个问题

- BLOB 链接转换中断

- 遵守导航面板中的 [’ShowCreateDb’]

- 禁用数据库扩展时，无法在数据库分组的导航面板中查看数据库

- 搜索选项卡中没有更多日历

- 监控应该适合屏幕宽度

- 复制数据库时，主键属性丢失

- js/messages.php 上的 maxInputVars 为空

phpMyAdmin 4.2.1.0 (2014/5/13) ===============================

- 无法使用包含特殊字符的枚举显示表格结构

- 无法删除上一次记录的已排序的列

- 正确获取用户的长度，并托管 MySQL 表格中的字段

- examples/signon.php 不支持 SessionSavePath 指令

- 缺少 OpenLayers 库的来源

- 数字字段的属性不正确

- 无法更新缩放搜索中的值

- GIS 可视化扩展不能与 PointFromText() 函数一起使用

- 截断或终止“数据库结构”页面中的表格时，显示的总“行数”不正确

- 在已排序的列上进行网格编辑失败

- 编辑时空复选框包含数据输入

- 自行更改数据类型（没有大小，但是存在属性）

phpMyAdmin 4.2.0.0 (2014/5/8) ===============================

- 仅导出触发器

- 导出服务器/数据库/表格（无触发器）

- 在数据库结构页面中添加表格注释工具提示

- 用于显示字符集和排序的单一表格

- 为表格行操作显示图标和/或文本

- 转换为将布尔值转为文本

- 更改用户密码会将其删除

- 文本转换将附加和预加相结合

- 已添加关于启用 mysql 扩展和删除扩展指令的警告

- 已添加对散点图的支持

- 使列标题粘着

- 增强权限初始表格

- [界面] 通过子菜单中断“编辑权限”

- 需要最小重构

- 在 SQL 导出的末尾创建索引

- 关系编辑表单，用于更大的监控

- 内联查询框垂直调整大小

- [界面] 为顶部菜单容器添加底部边界

- 为“TIME”类型添加日期选择器

- SQL 链接中的 HTTP 参照泄露

- 在导航悬停上显示完整名称

- 单击导航面板中的例程产生的行为

- CSV 导入中支持多个分隔符

- 按示例加载/保存“查询条件”

- 网格编辑 ENUM 字段，对话框在尝试选择时消失

- 使用 zip 压缩的数据库导出生成空的存档

- 顶部的确认消息

- 表格创建时出现痕迹错误

- 更好地验证数据库名称，以用于复制

- 数据库选项卡中的“释放”按钮应该是一个链接

- 提交失败之后，突出显示必填表格字段

- 在会话到期之后重定向到登录页面

- 网格编辑：无法在日期字段上更改月份

- 根据长度规格按字段添加最大长度

- 因为未提供任何文件名，所以愉快导入未执行任何操作

- 自动为所有插入框添加功能

- 略过超过 n 个表格的选项

- 禁用数据库扩展的可能性

- 收藏夹表格选择框

- $cfg[’CharEditing’]=’textarea，用于结构编辑

- 避免编辑相关的字段

- [界面] 突出显示设置中保留的活动菜单项目

- 在浏览期间过滤屏幕上的行

- 不再支持 SQL 验证器（不再提供 SOAP 服务）

- 设置 > 管理：不正确的消息

- 没有折叠“操作”区域中的“更多”以适应可用空间

- 对两个数据库分组，其中一个的名称是另一个的前缀

- 混淆数据库/表格分组

- 创建索引不会更新索引列表

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

此 phpMyAdmin 版本升级修复了各种安全问题（SQL 注入、XSS、完整路径泄露、点击劫持）

远程主机受到 GLSA-201311-02 中所述漏洞的影响（phpMyAdmin：多种漏洞）

已在 phpMyAdmin 中发现多种漏洞。请检查下面引用的 CVE 标识符以了解详细信息。
 影响：

经过认证的远程攻击者可利用这些漏洞，以运行 phpMyAdmin 的进程的权限执行任意代码、注入 SQL 代码或执行跨站脚本和点击劫持攻击。
 变通方案：

目前无任何已知的变通方案。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
69448	phpMyAdmin 3.5.x / 4.x < 4.0.5 “Header.class.php”点击劫持绕过 (PMASA-2013-10)	Nessus	CGI abuses	2013/8/22	2024/11/22	medium
76917	Fedora 19：phpMyAdmin-4.2.6-1.fc19 (2014-8577)	Nessus	Fedora Local Security Checks	2014/7/31	2021/1/11	medium
76918	Fedora 20：phpMyAdmin-4.2.6-1.fc20 (2014-8581)	Nessus	Fedora Local Security Checks	2014/7/31	2021/1/11	medium
75119	openSUSE 安全更新：phpMyAdmin (openSUSE-SU-2013:1343-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	medium
70753	GLSA-201311-02：phpMyAdmin：多种漏洞	Nessus	Gentoo Local Security Checks	2013/11/5	2021/1/6	medium

检测

插件搜索

medium

medium

medium

medium

medium