ГлавнаяБаза уязвимостей БДУ → BDU:2021-01804
10критическая

BDU:2021-01804 (CVE-2020-22278)

Уязвимость функции «Export» веб-приложения для администрирования систем управления базами данных phpMyAdmin, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-04-01
Описание

Уязвимость функции «Export» веб-приложения для администрирования систем управления базами данных phpMyAdmin связана с отсутствием нейтрализации элементов в файле CSV. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код (при открытии специально сформированного файла CSV)

Затрагиваемое ПО и версии
phpMyAdmin (до 5.0.2 включительно)
Способ устранения

1. Фильтрация любых входных значений, начинающихся с:
+, -, =, @

2. Использование рекомендаций (пункт 8.4):
https://docs.phpmyadmin.net/en/latest/faq.html#csv-files-exported-from-phpmyadmin-could-allow-a-formula-injection-attack

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://cert.ikiu.ac.ir/public-files/news/document/CVE-99/CVE-2020-22278.pdfhttps://cxsecurity.com/cveshow/CVE-2020-22278/https://docs.phpmyadmin.net/en/latest/faq.html#csv-files-exported-from-phpmyadmin-could-allow-a-formula-injection-attackhttps://github.com/phpmyadmin/phpmyadmin/issues/16101https://mega.nz/file/ySQnlQSR#vXzY46mgf0CE2ysYpWpbE4O6T_g37--rtaL8pqdHcQs
Проверьте безопасность своего сайта и почты → Полная проверка домена