phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2020.01.20(月)

phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

MySQL を Web コンソールから管理するためのツールである phpMyAdmin に、遠隔から任意のコードが実行となる脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
phpMyAdmin における正規表現の値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) 全 1 枚 拡大写真
◆概要
MySQL を Web コンソールから管理するためのツールである phpMyAdmin に、遠隔から任意のコードが実行となる脆弱性が報告されています。脆弱性の悪用により、phpMyAdmin の実行権限で意図していない動作を強制されることや、攻撃者に侵入されてしまう可能性が考えられます。ソフトウェアのアップデートなどにより対策することを推奨します。
----------------------------------------------------------------------
◆分析者コメント
遠隔から phpMyAdmin の実行権限で任意のコードが実行可能となる脆弱性ですが、脆弱性の悪用にはユーザの認証情報とユーザが CREATE 権限を持つデータベース名の特定などに成功しているといった条件が必要となります。しかし、脆弱性の悪用に成功された場合は重大なセキュリティ事故につながる可能性が高いため、phpMyAdmin の運用者はアップデートなどによる脆弱性への対応と共に、phpMyAdmin へのアクセス制御状況を確認することを推奨します。

《株式会社ラック サイバー・グリッド研究所》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. OracleがJavaをアップデート、ライセンス変更にも注意(IPA、JPCERT/CC)

    OracleがJavaをアップデート、ライセンス変更にも注意(IPA、JPCERT/CC)

  2. 「改ざんサイト」は2019年8月から急増、検索結果から誘導(デジタルアーツ)

    「改ざんサイト」は2019年8月から急増、検索結果から誘導(デジタルアーツ)

  3. セキュリティソフトに「防御率の高さ」と「動きの軽快さ」の改善を期待(NTTコム オンライン)

    セキュリティソフトに「防御率の高さ」と「動きの軽快さ」の改善を期待(NTTコム オンライン)

  4. 複数のCDNに、サイト閲覧者に攻撃が行われる脆弱性(JVN)

    複数のCDNに、サイト閲覧者に攻撃が行われる脆弱性(JVN)

  5. 「自分たちの方が顧客に付加価値を提供できる」PCI DSS 準拠のための脆弱性スキャンとペネトレーションテスト内製化を実現 ~ スマート・ツー株式会社

    「自分たちの方が顧客に付加価値を提供できる」PCI DSS 準拠のための脆弱性スキャンとペネトレーションテスト内製化を実現 ~ スマート・ツー株式会社PR

  6. 「ペットハグサイト」不正アクセスでカード情報流出、決済停止後も偽の決済フォームへ誘導(ペットハグ)

    「ペットハグサイト」不正アクセスでカード情報流出、決済停止後も偽の決済フォームへ誘導(ペットハグ)

  7. 上野宣はなぜ株式会社Flatt Securityの社外取締役に就任したのか

    上野宣はなぜ株式会社Flatt Securityの社外取締役に就任したのかPR

  8. 企業のメールセキュリティは改善傾向、特に送信元ドメイン認証で顕著(デージーネット)

    企業のメールセキュリティは改善傾向、特に送信元ドメイン認証で顕著(デージーネット)

  9. マイクロソフトが1月のセキュリティ情報を公開、早急に適用を(IPA、JPCERT/CC)

    マイクロソフトが1月のセキュリティ情報を公開、早急に適用を(IPA、JPCERT/CC)

  10. 委託先企業の業務用PCが遠隔操作攻撃で操作不能に(荏原製作所、イディア)

    委託先企業の業務用PCが遠隔操作攻撃で操作不能に(荏原製作所、イディア)

ランキングをもっと見る