各单位、各部门：

近期，关于phpMyAdmin官方报告了一个安全风险漏洞，具体情况如下：

攻击者可以通过上传特制的“.sql”文件来执行危险的数据库操作。

一、漏洞简述

平台经过身份验证的用户可以通过拖放界面上传特制的“.sql”文件来触发“XSS”攻击，从而执行危险的数据库操作。

phpMyAdmin是一个免费的开源工具，旨在通过Internet 管理MySQL和 MariaDB数据库。phpMyAdmin每月的下载量超过200,000次，是顶级的MySQL数据库管理工具之一。

因平台使用广泛，特此发布漏洞预警，请各部门、单位第一时间进行自查，及时将 phpMyAdmin更新修复至安全版本。请做好内外网资产自查以及预防工作，以免遭受黑客攻击。

二、风险等级

威胁等级：高危

影响面：广泛

攻击者价值：高

三、临时措施

通过禁用配置指令“$cfg['enable_drag_drop_import']”，用户将无法使用可以防止该漏洞的拖放上传。

四、受影响的版本

4.9.11 和 5.2.1 之前的 phpMyAdmin 版本受到影响。该漏洞自发布版本 4.3.0 以来就存在。

五、解决方案

升级到 phpMyAdmin 5.1.2、4.9.11 或更新最新版本。

网络安全与信息化管理办公室

2023年2月17日