远程主机上安装的 phpMyAdmin 版本未审查“设计器”功能中的数据库名称参数，因而受到 SQL 注入漏洞影响。请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

此更新修复了 phpMyAdmin 中的下列问题：phpMyAdmin 已更新到 4.9.2 版本：- CVE-2019-18622：设计工具功能中的 SQL 注入 (boo#1157614) - 修复了“无法设定会话 cookie”错误 - MySQL 8.0.3 及更高版本的咨询工具 - 修复了 PHP 弃用错误 - 修复了删除查询后导出用户可能会删除用户的情况 - 修复了“您没有权限操作用户！”错误警告 - 修复了通过 MariaDB 移动列可能会造成的复制数据库权限和多个其他问题 - 修复了 phpMyAdmin 在导出的过程中，使用 shift 键 + 鼠标单击进行选择时，未选择所有值的问题

上游公告：**phpMyAdmin 4.9.2 已发布** 2019-11-22 欢迎使用 phpMyAdmin 4.9.2，此版本为缺陷修复版本，还包含了安全修复。此安全修复是持续改进 Designer 功能安全性工作中的一部分，并被定为 **PMASA-2019-5**。感谢 Ali Hubail，此更新还改进了我们清理首页上显示的 Git 版本信息的方式。此版本包含大量缺陷的修复，包括：- 修复了“无法设定会话 cookie”的错误，此错误与 cookie 名称有关。在某些情况下，cookie 中存储的数据（例如之前使用过的用户账户）可能无法从之前您首次运行 4.9.2 版本时的 phpMyAdmin cookie 中加载 - 修复了 MySQL 8.0.3 及更高版本的咨询工具 - 修复了 PHP 弃用错误 - 修复了删除查询后导出用户时可能会删除用户的情况 - 修复了“您没有权限操作用户！”的错误警告 - 修复了通过 MariaDB 移动列可能会造成的复制数据库权限和多个其他问题 - 修复了 phpMyAdmin 在导出的过程中，使用 shift 键 + 鼠标单击进行选择时，未选择所有值的问题 感谢开发人员和其他贡献者的努力，还修复了其他大量缺陷。phpMyAdmin 团队 请注意，Tenable Network Security 已直接从 Fedora 更新系统网站提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

远程主机受到 GLSA-202003-39 中所述漏洞的影响（phpMyAdmin：SQL 注入）

    PhpMyAdmin 容易受到通过设计工具功能展开的 SQL 注入攻击。
  影响：

    经过身份验证的远程攻击者可通过指定特别构建的数据库/表格名称，触发 SQL 注入攻击。
  变通方案：

    目前无任何已知的变通方案。

根据其自我报告的版本号，远程 Web 服务器上托管的 phpMyAdmin 应用程序最低为 4.7.7，且低于 4.9.2。因此，会受到 SQL 注入 (SQLi) 漏洞影响。远程攻击者可使用设计工具功能中特制的数据库或表名，从而利用此漏洞。请注意，Nessus 并不试图利用这些问题，而只依赖于应用程序自我报告的版本号。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
113298	phpMyAdmin 4.7.7 < 4.9.2 SQL 注入	Web App Scanning	Component Vulnerability	2022/7/11	2023/3/14	critical
131542	openSUSE 安全更新：phpMyAdmin (openSUSE-2019-2599)	Nessus	SuSE Local Security Checks	2019/12/3	2024/4/8	critical
131461	Fedora 31：phpMyAdmin (2019-db68ae1fca)	Nessus	Fedora Local Security Checks	2019/12/3	2024/4/9	critical
131454	Fedora 30：phpMyAdmin (2019-8f55b515f1)	Nessus	Fedora Local Security Checks	2019/12/3	2024/4/9	critical
134725	GLSA-202003-39：phpMyAdmin：SQL 注入	Nessus	Gentoo Local Security Checks	2020/3/20	2024/3/21	critical
131319	phpMyAdmin 4.7.7 < 4.9.2 SQLi (PMASA-2019-5)	Nessus	CGI abuses	2019/11/26	2024/11/22	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical