根据其自我标识的版本号，远程 Web 服务器上托管的 phpMyAdmin 版本为高于 3.3.1 的 3.x 或低于 4.1.7 的 4.x。因此，它受到跨站脚本漏洞的影响，因为“import.php”脚本未正确审查导入的文件的文件名。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 4.1.7 之前的 phpMyAdmin 中 import.php 中的跨站脚本 (XSS) 漏洞允许经过认证的远程用户通过导入操作中构建的文件名注入任意 Web 脚本或 HTML。
    (CVE-2014-1879)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

已在 phpmyadmin 中发现并修正了一个漏洞：

在低于 4.1.7 的 phpMyAdmin 中，import.php 中的跨站脚本 (XSS) 漏洞允许经过认证的远程用户通过导入操作中构建的文件名注入任意 Web 脚本或 HTML (CVE-2014-1879)。

此升级提供最新的 phpmyadmin 版本 (4.1.7) 以解决此漏洞。

此外，由于新的依存关系，已添加 phpseclib 程序包。

已在通过 Web 管理 MySQL 的工具 phpMyAdmin 中发现多个漏洞。通用漏洞和暴露计划识别以下问题：

- CVE-2013-4995 经认证的用户可通过构建的 SQL 查询注入任意 Web 脚本或 HTML。

- CVE-2013-4996 可能通过导航面板中构建的标志 URL 或“信任的代理”列表中构建的条目进行跨站脚本攻击。

- CVE-2013-5002 经认证的用户可通过 Schema Export 中构建的 pageNumber 值注入任意 Web 脚本或 HTML。

- CVE-2013-5003 经认证的用户可通过缩放参数 PMD PDF 导出和 Schema Export 中的 pdf_page_number 参数，以 phpMyAdmin“控制用户”的身份执行任意 SQL 命令。

- CVE-2014-1879 经认证的用户可通过 Import 函数中构建的文件名注入任意 Web 脚本或 HTML。

phpMyAdmin 已更新到 4.1.8，修复了缺陷和安全问题，并增加了新功能。

修复的安全问题：

- PMASA-2014-1（CVE-2014-1879、CWE-661 CWE-79）

- 更新到 4.1.8（2014 年 2 月 22 日）

- sf#4276 会话到期时的登录循环

- sf#4249 通过子查询获取的 SQL 结果行数不正确

- sf#4275 php 扩展手册的链接已损坏

- sf#4053 通过 Enter 执行后不显示过程列表

- sf#4081 设置页面内容移动到其选项卡的右边缘

- sf#4284 为列重新排序会擦除其他列的注释

- sf#4286 在新选项卡中打开“浏览”

- sf#4287 打印视图 -“始终一列”发生太多次

- sf#4288 超时后扩展数据库（+ 图标）不执行任何操作

- sf#4285 修复了设置的 CSS

- 修复了表到 DOUBLE/FLOAT 字段的更改

- sf#4292 成功消息和失败消息一起显示

- sf#4293 为基于 import.php 的操作打开新选项卡（使用自链）将出错并注销。

phpMyAdmin 4.2.6.0 (2014/7/17) ===============================

- 未定义的索引警告，含引用的列。

- 返回 BROWSING 时会忽略 $cfg['MaxExactCount']

- 多列排序（改进了用户体验）

- 处于 setup/mysqli 中时，服务器验证无效

- 网格编辑外键列时出现未定义变量

- mult_submits.inc.php 未定义变量错误

- 排序破坏复制列功能

- 重命名表时出现 JavaScript 错误

-“新窗口”链接（自链）消失，导致 JavaScript 错误

- 未正确检测例程创建的权限

- 扩展时无法点击数据库名称的头几个字符

- [安全性] 由于非转义表注释而产生 XSS 注入

- [安全性] 由于非转义表名（触发器）而产生 XSS 注入

- [安全性] AJAX 确认消息中的 XSS

- [安全性] 缺少访问用户组功能的验证

phpMyAdmin 4.2.5.0 (2014/6/26) ===============================

- 出于安全原因，已禁用 shell_exec()

- 提交空查询时出错

- 致命错误：未找到“PMA_DatabaseInterface”类

- 已修复基于 Cookie 的登录，以在没有 mcrypt 的情况下进行安装

- 使用子句时，结果计数不正确

- mcrypt：删除要求（64 位）和相关警告

phpMyAdmin 4.2.4.0 (2014/6/20) ===============================

- MediaWiki 导出未生成表格标头行；同时修复了相关的 PHP 警告

- 每次都会向查询添加新行

- 加入查询的 SQL 导出中存在致命错误

- 以十六进制表示的转储二进制列不起作用

- 重新为每个会话生成 Cookie 加密 IV

- 无法导入 (open_basedir)：修复另一个情况

- SQL 选项卡 - 插入查询未显示受影响的行计数

- 在多服务器配置中缺少有关现有帐户的警告

- 可以不定义 WHERE 子句

- 忽略作为表格选项的 SQL 导出视图

- [安全性] 由于在导航隐藏中存在非转义的数据库/表格名称而产生 XSS 注入

- [安全性] 由于在最近/收藏夹表格中存在非转义的数据库/表格名称而产生 XSS 注入

phpMyAdmin 4.2.3.0 (2014/6/8) ===============================

- 字段移动不起作用

- 表格索引在更改字段之后消失

- 在服务器级别显示图表时出错

- 无法导入 (open_basedir)

- 复制限制（例如 Sakila）时出现问题

- 缺少权限子菜单

- 终止用户时终止数据库确认消息

- 插入含功能下拉列表的表单数值字段

- 由于未实施支持的最低版本的 MySQL 而出现问题

- 添加支持的最低 PHP 版本 (5.3.0) 的实施

- 提交包含禁用的输入字段的列更改表单时出现查询错误

- 从用户组生成的菜单选项卡不正确

- 索引创建/编辑生成的查询中缺少空格

- 取消选中“显示 SQL 查询”导致 NaN

phpMyAdmin 4.2.2.0 (2014/5/20) ===============================

- 单击导航树中的数据库名称时抛出错误 500，并禁用数据库扩展

- 以表格显示 performance_schema 数据库结构

- 保护二进制列：多个问题

- BLOB 链接转换中断

- 遵守导航面板中的 [’ShowCreateDb’]

- 禁用数据库扩展时，无法在数据库分组的导航面板中查看数据库

- 搜索选项卡中没有更多日历

- 监控应该适合屏幕宽度

- 复制数据库时，主键属性丢失

- js/messages.php 上的 maxInputVars 为空

phpMyAdmin 4.2.1.0 (2014/5/13) ===============================

- 无法使用包含特殊字符的枚举显示表格结构

- 无法删除上一次记录的已排序的列

- 正确获取用户的长度，并托管 MySQL 表格中的字段

- examples/signon.php 不支持 SessionSavePath 指令

- 缺少 OpenLayers 库的来源

- 数字字段的属性不正确

- 无法更新缩放搜索中的值

- GIS 可视化扩展不能与 PointFromText() 函数一起使用

- 截断或终止“数据库结构”页面中的表格时，显示的总“行数”不正确

- 在已排序的列上进行网格编辑失败

- 编辑时空复选框包含数据输入

- 自行更改数据类型（没有大小，但是存在属性）

phpMyAdmin 4.2.0.0 (2014/5/8) ===============================

- 仅导出触发器

- 导出服务器/数据库/表格（无触发器）

- 在数据库结构页面中添加表格注释工具提示

- 用于显示字符集和排序的单一表格

- 为表格行操作显示图标和/或文本

- 转换为将布尔值转为文本

- 更改用户密码会将其删除

- 文本转换将附加和预加相结合

- 已添加关于启用 mysql 扩展和删除扩展指令的警告

- 已添加对散点图的支持

- 使列标题粘着

- 增强权限初始表格

- [界面] 通过子菜单中断“编辑权限”

- 需要最小重构

- 在 SQL 导出的末尾创建索引

- 关系编辑表单，用于更大的监控

- 内联查询框垂直调整大小

- [界面] 为顶部菜单容器添加底部边界

- 为“TIME”类型添加日期选择器

- SQL 链接中的 HTTP 参照泄露

- 在导航悬停上显示完整名称

- 单击导航面板中的例程产生的行为

- CSV 导入中支持多个分隔符

- 按示例加载/保存“查询条件”

- 网格编辑 ENUM 字段，对话框在尝试选择时消失

- 使用 zip 压缩的数据库导出生成空的存档

- 顶部的确认消息

- 表格创建时出现痕迹错误

- 更好地验证数据库名称，以用于复制

- 数据库选项卡中的“释放”按钮应该是一个链接

- 提交失败之后，突出显示必填表格字段

- 在会话到期之后重定向到登录页面

- 网格编辑：无法在日期字段上更改月份

- 根据长度规格按字段添加最大长度

- 因为未提供任何文件名，所以愉快导入未执行任何操作

- 自动为所有插入框添加功能

- 略过超过 n 个表格的选项

- 禁用数据库扩展的可能性

- 收藏夹表格选择框

- $cfg[’CharEditing’]=’textarea，用于结构编辑

- 避免编辑相关的字段

- [界面] 突出显示设置中保留的活动菜单项目

- 在浏览期间过滤屏幕上的行

- 不再支持 SQL 验证器（不再提供 SOAP 服务）

- 设置 > 管理：不正确的消息

- 没有折叠“操作”区域中的“更多”以适应可用空间

- 对两个数据库分组，其中一个的名称是另一个的前缀

- 混淆数据库/表格分组

- 创建索引不会更新索引列表

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

phpMyAdmin 开发团队报告：

导入具有构建的文件名的文件时，可能触发 XSS。我们认为此漏洞不严重。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
72714	phpMyAdmin 3.x >= 3.3.1 / 4.x < 4.1.7 import.php XSS (PMASA-2014-1)	Nessus	CGI abuses : XSS	2014/2/26	2025/5/14	low
254134	Linux Distros 未修补的漏洞：CVE-2014-1879	Nessus	Misc.	2025/8/24	2025/8/24	medium
72641	Mandriva Linux 安全公告：phpmyadmin (MDVSA-2014:046)	Nessus	Mandriva Local Security Checks	2014/2/22	2021/1/6	low
76433	Debian DSA-2975-1：phpmyadmin - 安全更新	Nessus	Debian Local Security Checks	2014/7/10	2021/1/11	medium
75282	openSUSE 安全更新：phpMyAdmin (openSUSE-SU-2014:0344-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	low
76917	Fedora 19：phpMyAdmin-4.2.6-1.fc19 (2014-8577)	Nessus	Fedora Local Security Checks	2014/7/31	2021/1/11	medium
76918	Fedora 20：phpMyAdmin-4.2.6-1.fc20 (2014-8581)	Nessus	Fedora Local Security Checks	2014/7/31	2021/1/11	medium
72527	FreeBSD：phpMyAdmin -- 导入中非转义的 HTML 输出造成的 Self-XSS。(0871d18b-9638-11e3-a371-6805ca0b3d42)	Nessus	FreeBSD Local Security Checks	2014/2/17	2021/1/6	low

检测

插件搜索

low

medium

low

medium

low

medium

medium

low