CH azonosító
CH-5765Angol cím
phpMyAdmin "setup.php" Cross-Site Scripting VulnerabilityFelfedezés dátuma
2011.10.16.Súlyosság
AlacsonyÖsszefoglaló
A phpMyAdmin olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak cross-site scripting (XSS/CSS) támadások indítására.
Leírás
A setup.php részére átadott bizonyos bemeneti adatok ellenőrzése nem megfelelő, mielőtt viszaadnák azokat a felhasználónak. Ez kihasználható tetszőleges HTML és script kód lefuttatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
Megjegyzés: A sérülékenység sikeres kihasználásának feltétele, hogy a telepítéskor nem követték a bevált gyakorlatot, és a config könyvtár írható maradt.
A sérülékenységet a 3.4.5 verzióban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.phpmyadmin.net
Egyéb referencia: hauntit.blogspot.com
SECUNIA 46431
CVE-2011-3646 - NVD CVE-2011-3646