漏洞：阿里雲盾phpMyAdmin <=4.8.1 後臺checkPageValidity函數缺陷可致使GETSHELL

阿里雲盾提示phpMyAdmin <=4.8.1會出現漏洞有被SHELL風險，具體漏洞提醒：

標題

phpMyAdmin <=4.8.1 後臺checkPageValidity函數缺陷可致使GETSHELL

簡介

checkPageValidity函數對外部輸入過濾不嚴，可致使本地包含任意文件。進一步地攻擊者可經過注入代碼到特定文件進行包含形成遠程代碼執行。

這個漏洞，將phpmyadmin升級到最新版便可解決。

查看兼容性：

phpmyadmin查看最新版與MySQL和PHP版本的兼容性
當前phpmyadmin最新版爲4.8.2，兼容PHP 5.5 ~ 7.2，MySQL 5.5及以上，我這個服務器是PHP7.1.18和MariaDb10.1.33因此直接升級到最新版就能夠了。
由於lnmp1.5提供了升級腳本，直接升級便可。

cd lnmp1.5 ./upgrade.sh phpmyadmin

會跳轉一下，輸入版本號：

You can get version number from https://www.phpmyadmin.net/downloads/
Please enter phpMyAdmin version you want, (example: 4.8.0 ): 4.8.2

而後就升級完成了，再去阿里雲裏面驗證一下漏洞，漏洞已失效。

注意：

1. 若是你修改了nginx網站目錄的位置，你須要修改一下lnmp配置文件root/lnmp1.5/lnmp.conf，將下面這裏的路徑改爲你服務根目錄的路徑。

Default_Website_Dir='/home/wwwroot/default'

1. 若是你修改了phpmyadmin的目錄名稱，你須要修改升級所用的腳本文件/root/lnmp1.5/include/upgrade_phpmyadmin.sh，將腳本中的${Default_Website_Dir}/phpmyadmin/這樣的路徑所有改爲${Default_Website_Dir}/你的phpmyadmin文件夾名/。

這樣才能夠升級成功，以上使用的是lnmp1.5版本，感謝軍哥。