Phpmyadmin
Уязвимости
239
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.98391
Распределение по критичности
Критический
16
Высокий
41
Средний
154
Низкий
27
Также сопоставлено как (исходные строки): phpmyadmin
Топ уязвимостей
CVE-2007-0203Множественные неуказанные уязвимости в phpMyAdmin до 2.9.2-rc1 имеют неизвестное воздействие и векторы атак.
CVE-2020-26935Обнаружена проблема в SearchController в phpMyAdmin до версий 4.9.6 и 5.x до 5.0.3. Обнаружена уязвимость SQL-инъекции в том, как phpMyAdmin обрабатывает SQL-запросы в функции поиска. Злоумышленник может использовать этот недостаток для внедрения вредоносного SQL в запрос.
CVE-2020-22452SQL-инъекция в функции getTableCreationQuery в CreateAddField.php в phpMyAdmin 5.x до версии 5.2.0 через параметры tbl_storage_engine или tbl_collation в tbl_create.php.
CVE-2019-6798Проблема была обнаружена в phpMyAdmin до версии 4.8.5. Сообщается об уязвимости, при которой специально созданное имя пользователя может быть использовано для запуска SQL-инъекции через функцию designer.
CVE-2019-19617phpMyAdmin до версии 4.9.2 не экранирует определенную информацию Git, связанную с libraries/classes/Display/GitRevision.php и libraries/classes/Footer.php.
CVE-2019-18622Обнаружена проблема в phpMyAdmin до версии 4.9.2. Созданное имя базы данных/таблицы может быть использовано для запуска SQL-инъекции через функцию конструктора.
CVE-2019-11768Проблема обнаружена в phpMyAdmin до 4.9.0.1. Сообщалось об уязвимости, когда специально созданное имя базы данных может быть использовано для запуска SQL-инъекции через функцию дизайнера.
CVE-2017-18264Обнаружена проблема в libraries/common.inc.php в phpMyAdmin 4.0 до 4.0.10.20, 4.4.x, 4.6.x и 4.7.0 prereleases. Ограничения, вызванные $cfg['Servers'][$i]['AllowNoPassword'] = false, обходятся в определенных версиях PHP (например, в версии 5). Это может позволить вход пользователей, у которых не установлен пароль, даже если администратор установил $cfg['Servers'][$i]['AllowNoPassword'] в значение false (что также является значением по умолчанию). Это происходит потому, что некоторые реализации функции PHP substr возвращают false, если в качестве первого аргумента задано ''.
CVE-2016-9866В phpMyAdmin обнаружена проблема. Когда arg_separator отличается от значения по умолчанию &, то CSRF-токен неправильно удалялся из URL-адреса возврата действия импорта настроек. Уязвимы все версии 4.6.x (до 4.6.5), версии 4.4.x (до 4.4.15.9) и версии 4.0.x (до 4.0.10.18).
CVE-2016-9865В phpMyAdmin обнаружена проблема. Из-за ошибки в анализе сериализованной строки можно было обойти защиту, предлагаемую функцией PMA_safeUnserialize(). Уязвимы все версии 4.6.x (до 4.6.5), версии 4.4.x (до 4.4.15.9) и версии 4.0.x (до 4.0.10.18).
CVE-2016-9849Проблема обнаружена в phpMyAdmin. Можно обойти ограничение AllowRoot ($cfg['Servers'][$i]['AllowRoot']) и правила запрета для имени пользователя, используя нулевой байт в имени пользователя. Затронуты все версии 4.6.x (до 4.6.5), версии 4.4.x (до 4.4.15.9) и версии 4.0.x (до 4.0.10.18).
CVE-2016-6629В phpMyAdmin обнаружена проблема, связанная с директивой конфигурации $cfg['ArbitraryServerRegexp']. Злоумышленник может повторно использовать определенные значения cookie для обхода серверов, определенных ArbitraryServerRegexp. Уязвимы все версии 4.6.x (до 4.6.4), версии 4.4.x (до 4.4.15.8) и версии 4.0.x (до 4.0.10.17).
CVE-2016-6620В phpMyAdmin обнаружена проблема. Некоторые данные передаются в функцию PHP unserialize() без проверки их на предмет того, являются ли они действительными сериализованными данными. Десериализация может привести к выполнению кода из-за взаимодействия с созданием объектов и автозагрузкой. Уязвимы все версии 4.6.x (до 4.6.4), версии 4.4.x (до 4.4.15.8) и версии 4.0.x (до 4.0.10.17).
CVE-2016-5734phpMyAdmin 4.0.x до 4.0.10.16, 4.4.x до 4.4.15.7 и 4.6.x до 4.6.3 неправильно выбирает разделители, чтобы предотвратить использование модификатора preg_replace e (aka eval), что может позволить удаленным злоумышленникам выполнять произвольный PHP-код через специально созданную строку, как продемонстрировано реализацией поиска и замены в таблице.
CVE-2016-5703Уязвимость SQL-инъекции в libraries/central_columns.lib.php в phpMyAdmin 4.4.x до 4.4.15.7 и 4.6.x до 4.6.3 позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через специально созданное имя базы данных, которое неправильно обрабатывается в запросе центрального столбца.
CVE-2009-1151Уязвимость статической инъекции кода в setup.php в phpMyAdmin 2.11.x до 2.11.9.5 и 3.x до 3.1.3.1 позволяет удалённым злоумышленникам вводить произвольный PHP код в файл конфигурации через действие save.
CVE-2020-5504В phpMyAdmin 4 до 4.9.4 и 5 до 5.0.1 существует SQL-инъекция на странице учетных записей пользователей. Злоумышленник может внедрить собственный SQL вместо собственного имени пользователя при создании запросов на эту страницу. Злоумышленник должен иметь действующую учетную запись MySQL для доступа к серверу.
CVE-2020-22278phpMyAdmin до версии 5.0.2 допускает внедрение CSV через раздел экспорта. ПРИМЕЧАНИЕ: поставщик оспаривает это, потому что «CSV-файл точно генерируется на основе содержимого базы данных».
CVE-2018-19969phpMyAdmin версий 4.7.x и 4.8.x до 4.8.4 подвержены ряду недостатков CSRF. Обманом заставив пользователя нажать на специально созданный URL-адрес, можно выполнить вредоносные SQL-операции, такие как переименование баз данных, создание новых таблиц/процедур, удаление страниц конструктора, добавление/удаление пользователей, обновление паролей пользователей, завершение SQL-процессов и т. д.
CVE-2018-12613Проблема обнаружена в phpMyAdmin 4.8.x до 4.8.2, в которой злоумышленник может включать (просматривать и потенциально выполнять) файлы на сервере. Уязвимость исходит из части кода, где страницы перенаправляются и загружаются в phpMyAdmin, и ненадлежащей проверки на наличие страниц в белом списке. Злоумышленник должен быть аутентифицирован, за исключением случая "$cfg['AllowArbitraryServer'] = true" (где злоумышленник может указать любой хост, который он уже контролирует, и выполнить произвольный код в phpMyAdmin) и случая "$cfg['ServerDefault'] = 0" (который обходит требование входа в систему и запускает уязвимый код без какой-либо аутентификации).
CVE-2018-10188phpMyAdmin 4.8.0 до 4.8.0-1 имеет CSRF, позволяющий злоумышленнику выполнять произвольные SQL-запросы, связанные с js/db_operations.js, js/tbl_operations.js, libraries/classes/Operations.php и sql.php.
CVE-2017-1000499phpMyAdmin версий 4.7.x (до 4.7.6.1/4.7.7) уязвим для CSRF. Обманув пользователя, чтобы он нажал на специально созданный URL-адрес, можно выполнить вредоносные операции с базой данных, такие как удаление записей, удаление/усечение таблиц и т.д.
CVE-2017-1000017phpMyAdmin 4.0, 4.4 и 4.6 уязвимы к уязвимости, при которой пользователь с соответствующими разрешениями может подключиться к произвольному MySQL-серверу.
CVE-2016-6619В phpMyAdmin обнаружена проблема. В функции настроек пользовательского интерфейса пользователь может выполнить SQL-инъекцию против учетной записи управляющего пользователя. Уязвимы все версии 4.6.x (до 4.6.4), версии 4.4.x (до 4.4.15.8) и версии 4.0.x (до 4.0.10.17).
CVE-2016-6609В phpMyAdmin обнаружена проблема. Специально созданное имя базы данных может быть использовано для запуска произвольных PHP-команд через функцию экспорта массива. Уязвимы все версии 4.6.x (до 4.6.4), версии 4.4.x (до 4.4.15.8) и версии 4.0.x (до 4.0.10.17).