요약
LFI (Local file inclusion) 취약점
- 취약점 : 원격 공격자가 변환 기능을 통해 서버 로컬파일에서 민감한 정보를 읽을 수 있음
- 선행 조건: 공격자는 phpMyAdmin Configuration Storage 테이블에 접속해야 함(공격자가 접근 가능한 아무 DB에 손쉽게 생성이 가능).
공격자는 유효한 크리덴셜을 가지고 있어야 phpMyAdmin에 로그인할 수 있음. (이 취약점으로 로그인 우회할 수 없음)
- 심각도 : 심각
- 영향 받는 제품 : 4.0~4.8.3
- 대응방안 : 패치 (https://www.phpmyadmin.net/security/PMASA-2018-6/)
관련 CVE코드
CVE-2018-19968
참고자료
출처 : https://thehackernews.com/2018/12/phpmyadmin-security-update.html
'Vulnerability' 카테고리의 다른 글
| [2018.12.13] phpmyadmin Cross-site scripting(XSS) 취약점 (0) | 2019.03.14 |
|---|---|
| [2018.12.13] phpmyadmin Cross-Site 요청 변조(Cross-Site Request Forgery, CSRF/XSRF) (0) | 2019.03.14 |
| [2018.11.30] Cisco Prime License Manager SQL 삽입 취약점 (CVE-2018-15441) (0) | 2019.03.13 |
| [2018.11.28] Cisco WebEx 취약점 패치 업데이트 (CVE-20180-15442) (0) | 2019.03.13 |
| [2018.11.27] Google, Google Play에 게임으로 가장한 악성 앱 발견 후 삭제 (0) | 2019.03.13 |