一、 漏洞 CVE-2020-26935 基础信息
漏洞信息
# N/A
## 漏洞概述
在 phpMyAdmin 中的 SearchController 中发现了一个 SQL 注入漏洞。此漏洞允许攻击者在搜索功能中注入恶意 SQL 语句。
## 影响版本
- phpMyAdmin 4.9.6 之前的版本
- phpMyAdmin 5.x 5.0.3 之前的版本
## 漏洞细节
phpMyAdmin 在处理搜索功能中的 SQL 语句时存在缺陷,攻击者可以利用此漏洞在查询中注入恶意 SQL 语句。
## 漏洞影响
攻击者可以注入恶意 SQL 语句,从而可能导致数据泄露、数据篡改或其他安全问题。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞存在于phpMyAdmin的SearchController中,特别是在处理搜索功能中的SQL语句时,存在SQL注入漏洞。攻击者可以利用这一漏洞注入恶意的SQL代码,进而执行未经授权的数据库操作。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in SearchController in phpMyAdmin before 4.9.6 and 5.x before 5.0.3. A SQL injection vulnerability was discovered in how phpMyAdmin processes SQL statements in the search feature. An attacker could use this flaw to inject malicious SQL in to a query.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
phpMyAdmin SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
phpMyAdmin是phpMyAdmin团队的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。 phpMyAdmin 4.9.6之前版本,SearchController 5.0.3之前版本存在SQL注入漏洞,该漏洞允许攻击者进行SQL注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-26935 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/phpMyAdmin%E5%90%8E%E5%8F%B0SQL%E6%B3%A8%E5%85%A5%20CVE-2020-26935.md | POC详情 |
| 2 | phpMyAdmin before 4.9.6 and 5.x before 5.0.3 contains a SQL injection caused by improper processing of SQL statements in the search feature, letting attackers inject malicious SQL, exploit requires crafted search input. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/CVE-2020-26935.yaml | POC详情 |
| 3 | phpMyAdmin before 4.9.6 and 5.x before 5.0.3 contains a SQL injection caused by improper processing of SQL statements in the search feature, letting attackers inject malicious SQL, exploit requires crafted search input. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2020/CVE-2020-26935.yaml | POC详情 |
三、漏洞 CVE-2020-26935 的情报信息
- https://www.phpmyadmin.net/security/PMASA-2020-6/x_refsource_MISC
- https://advisory.checkmarx.net/advisory/CX-2020-4281x_refsource_MISC
- https://security.gentoo.org/glsa/202101-35vendor-advisoryx_refsource_GENTOO
- http://lists.opensuse.org/opensuse-security-announce/2020-10/msg00027.htmlvendor-advisoryx_refsource_SUSE
- http://lists.opensuse.org/opensuse-security-announce/2020-11/msg00005.htmlvendor-advisoryx_refsource_SUSE
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/TNLGHVDNAEZEGRTUESSSQFM7MZTHIDQ5/vendor-advisoryx_refsource_FEDORA
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FHST4E5IJG7IKZTTW3R6MEZPVHJZ472K/vendor-advisoryx_refsource_FEDORA
标题: Oh noes! -- 🔗来源链接
标签:vendor-advisoryx_refsource_FEDORA
- https://lists.debian.org/debian-lts-announce/2020/10/msg00024.htmlmailing-listx_refsource_MLIST
- https://nvd.nist.gov/vuln/detail/CVE-2020-26935
四、漏洞 CVE-2020-26935 的评论
暂无评论