【漏洞对象】phpMyAdmin 【涉及版本】phpMyAdmin 【漏洞描述】phpMyAdmin 是一个以 PHP 为基础，以 Web-Base 方式架构在网站主机上的 MySQL 的数据库管理工具，phpMyAdmin 的 `setup` 目录在配置完成之后并未删除，导致攻击者可以读取其中的配置文件，里面可能含有数据库地址、账号和口令等敏感信息。攻击者可以通过直接访问这个文件触发该漏洞，通过该漏洞泄露的信息，可以获取到 phpMyAdmin 配置信息。一旦服务器开放了数据库的远程连接功能，攻击者就可以利用从配置文件中找到的数据库用户名和密码对远程数据库进行登陆，危险性及其严重。

建议在配置完 phpMyAdmin 后移除 `setup` 目录；如果确有多次使用 `setup` 的需求，务必确保 `libraries/vendor_config.php` 中的 `SETUP_CONFIG_FILE` 与 `CONFIG_FILE` 不为相同的值，并在每次生成配置文件 `config.inc.php` 后将其移动到其他目录下。