Sicherheitsprobleme bei Datenbank-Tool phpMyAdmin

Mit dem export-Skript lassen sich Pfadangaben manipulieren, um beliebige Dateien des Systems anzuzeigen.

03.02.2004, 14:27 Uhr

Lesezeit: 1 Min.

Von

Daniel Bachfeld

Das export.php-Skript des beliebten Datenbank-Administrationstools für mySQL-Datenbanken phpMyAdmin überprüft den "what"-Parameter nicht ausreichend, so dass sich damit Pfadangaben manipulieren lassen, um beliebige Dateien des Systems anzuzeigen.

Beispiel:

http://foo.bar/export.php?what=../../../datei

Betroffen sind alle Versionen bis einschließlich 2.5.5-pl1. Die fehlerbereinigte Version 2.5.6-rc1 steht auf phpmyadmin.net zum Download bereit.

Siehe dazu auch: (dab)

Release Notes 2.5.6-rc1

Beliebte Bestenlisten

Alle bestenlisten

Der beste Full-HD-Beamer für Heimkino, TV & Konsole

Die besten Tuner für DAB+ zum Nachrüsten für die Stereoanlage

Top 10: Die beste Smartwatch 2025 im Test

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}