Программа: phpMyAdmin 2.7.0
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS
нападение, получить доступ к важным данным и выполнить произвольный PHP код на
системе. Уязвимость существует из-за ошибки в уровне эмуляции register_globals в
сценарии "grab_globals.php". Поскольку переменная "import_blacklist"
недостаточной защищена, она может быть модифицирована атакующим. Кроме того,
злоумышленник также может контролировать путь к подключаемому файлу. Удаленный
пользователь может с помощью специально сформированного запроса изменить
значение переменной "import_blacklist" и произвести XSS нападение, подключить и
выполнить произвольные локальные и удаленные сценарии на целевой системе с
привилегиями Web сервера.
Примечание: Инклюдинг удаленных сценариев возможен непосредственно в PHP 5 с
помощью ftp:// URLs. В php 4.x возможны другие пути включения файлов (например,
с помощью уязвимого сценария PEAR.php, если установлена версия PHP до 4.3.11).
