Al popular, pero inseguro, phpMyAdmin se le descubrió en Marzo de 2009 una vulnerabilidad muy importante que permite ejecutar código PHP en forma remota comprometiendo la seguridad de toda la base de datos e incluso del servidor afectado. Greg Ose (Neohapsis) descubrió este problema y lo informó a los desarrolladores de phpMyAdmin que rápidamente sacaron un parche (otro más) para solucionar este bug.

El problema es que hace un par de días se publicó en algunos sitios la prueba de concepto (PoC) que explota este error en phpMyAdmin hasta las vereiones 2.11.9.5 y 3.1.3.1. Así, cualquier sistema que utilice estas versiones es vulnerable y fácilmente explotable por lo que se aconseja actualizar inmediatamente o eliminar el acceso remoto a phpMyAdmin (es lo más recomendado).

Al parecer esta vulnerabilidad puede ser solamente explotada en entornos donde el administrador ha escogido la instalación de phpMyAdmin siguiendo el método de "asistente" en vez del método manual y donde NO se haya elminado el directorio /config/.

Descargar parche para todas las versiones: Revisión 12301
http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=12301

PoC (Exploit): http://www.milw0rm.com/exploits/8921

Fuente: http://labs.neohapsis.com/2009/04/06/about-cve-2009-1151/