phpMyAdmin

Die Schwachstelle steckt im Setup-Skript von phpMyAdmin, einer weit verbreiteten Web-Oberfläche zur Verwaltung von MySQL-Datenbanken. Dieses Skript dient dazu, die Konfigurationsdatei der Anwendung über den Browser zu erzeugen. Der Fehler erlaubt es einem Angreifer aus der Ferne, das Setup mit einer manipulierten Anfrage zu täuschen und beim Speichern der Konfiguration eigenen PHP-Code in die erzeugte Konfigurationsdatei einzuschleusen. Es handelt sich somit um eine statische Code-Injektion: Der eingeschleuste Code wird fester Bestandteil einer Datei, die der Server später ausführt. Auf diesem Weg kann der Angreifer beliebigen PHP-Code zur Ausführung bringen und damit aus der Ferne Kontrolle über die Anwendung und den darunterliegenden Webserver erlangen. Betroffen sind verwundbare Installationen von phpMyAdmin, bei denen das Setup-Skript erreichbar ist – ein besonders kritischer Angriffspunkt, da phpMyAdmin häufig direkt aus dem Web zugänglich ist.