漏洞:阿里云盾phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL

阿里云盾提示 phpMyAdmin <=4.8.1 会出现漏洞有被 SHELL 风险,具体漏洞提醒:

标题

phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL

简介

checkPageValidity函数对外部输入过滤不严,可导致本地包含任意文件。进一步地攻击者可通过注入代码到特定文件进行包含造成远程代码执行。

阿里云盾漏洞

这个漏洞,将 phpmyadmin 升级到最新版即可解决。

查看兼容性:

phpmyadmin查看最新版与MySQL和PHP版本的兼容性
当前 phpmyadmin 最新版为 4.8.2 ,兼容 PHP 5.5 ~ 7.2MySQL 5.5 及以上,我这个服务器是 PHP7.1.18MariaDb10.1.33 所以直接升级到最新版就可以了。
因为 lnmp1.5 提供了升级脚本,直接升级即可。

cd lnmp1.5
./upgrade.sh phpmyadmin

会跳转一下,输入版本号:

You can get version number from https://www.phpmyadmin.net/downloads/
Please enter phpMyAdmin version you want, (example: 4.8.0 ): 4.8.2

然后就升级完成了,再去阿里云里面验证一下漏洞,漏洞已失效。

注意:

  1. 如果你修改了 nginx 网站目录的位置,你需要修改一下 lnmp 配置文件 root/lnmp1.5/lnmp.conf ,将下面这里的路径改成你服务根目录的路径。
Default_Website_Dir='/home/wwwroot/default'
  1. 如果你修改了 phpmyadmin 的目录名称,你需要修改升级所用的脚本文件 /root/lnmp1.5/include/upgrade_phpmyadmin.sh ,将脚本中的 ${Default_Website_Dir}/phpmyadmin/ 这样的路径全部改成 ${Default_Website_Dir}/你的phpmyadmin文件夹名/

这样才可以升级成功,以上使用的是 lnmp1.5 版本,感谢军哥。

标题:漏洞:阿里云盾phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL

原文链接:https://beltxman.com/1998.html

若无特殊说明本站内容为 行星带 原创,未经同意请勿转载。

Scroll to top