漏洞描述
phpMyAdmin setup.php 文件读取漏洞是指 phpMyAdmin 2.8.0.3 版本在 `/scripts/setup.php` 文件中存在任意文件读取漏洞,攻击者可利用漏洞读取网站上的敏感文件。在受影响的 phpMyAdmin 版本中,`setup.php` 引入了 `Config.class.php`,并将用户传入的参数 `$configuration` 反序列化。引入的文件带有 `__wakeup` 魔术方法,魔术方法内部又调用了 `load` 函数解析并读取配置文件,因此可以构造序列化参数,造成反序列化漏洞。在一定条件下,恶意攻击者可以通过发送构造的 HTTP 请求在未经授权的情况下获取 phpMyAdmin 上的任意文件内容,导致服务器上的敏感信息遭到泄漏和进一步被利用,危害十分严重。