phpMyAdmin是最受欢迎和广泛使用的MySQL数据库管理系统之一的开发人员，今天发布了其软件的更新版本4.8.4，用于修补几个可能最终允许远程***者控制受影响的Web服务器的重要漏洞。

上周日的phpMyAdmin项目通过其博客提供了关于最新安全更新的早期提示，可能是第一次，作为一项实验，找出预先公告是否可以帮助网站管理员，托管服务提供商和软件包管理器更好地为安全发布做好准备。

phpMyAdmin是一个免费的开源管理工具，用于通过Web浏览器使用简单的图形界面管理MySQL数据库。

几乎每个网络托管服务都预装了phpMyAdmin及其控制面板，以帮助网站管理员轻松管理网站数据库，包括WordPress，Joomla和许多其他内容管理平台。

除了许多错误修复之外，主要有三个关键的安全漏洞会影响发布4.8.4之前的phpMyAdmin版本，phpMyAdmin在其最新的咨询中透露。

新的phpMyAdmin漏洞

1。）本地文件包含（CVE-2018-19968） –至少从4.0到4.8.3的phpMyAdmin版本包含一个本地文件包含漏洞，可能允许远程***者读取通过其转换功能从服务器上的本地文件中获取敏感内容。

“***者必须能够访问phpMyAdmin配置存储表，尽管可以在***者可以访问的任何数据库中轻松创建这些表。***者必须拥有有效的凭据才能登录phpMyAdmin; 此漏洞不允许***者绕过登录系统。“

2.）跨站请求伪造（CSRF）/ XSRF（CVE-2018-19969） – phpMyAdmin版本4.7.0到4.7.6和4.8.0到4.8.3包含CSRF / XSRF漏洞，如果被利用，可以允许***者“通过说服受害者打开特制链接”来“执行有害的SQL操作，例如重命名数据库，创建新表/例程，删除设计器页面，添加/删除用户，更新用户密码，终止SQL进程”。

3.）跨站点脚本（XSS）（CVE-2018-19970） –该软件还在其导航树中包含一个跨站点脚本漏洞，该漏洞影响至少4.0到4.8.3的版本，***者可以使用它通过特制的数据库/表名将恶意代码注入仪表板。

为了解决上面列出的所有安全漏洞，phpMyAdmin开发人员今天发布了最新版本4.8.4，以及一些以前版本的单独补丁。

强烈建议网站管理员和托管服务提供商立即安装最新的更新或补丁。

扫描二维码观注security-360.cn微信公众号