A phpMyAdmin szkript beszúrás és SQL befecskendezés sérülékenységei

2009. október 13. 22:00

CH azonosító

CH-2567

Felfedezés dátuma

2009.10.13.

Súlyosság

Alacsony

Érintett rendszerek

phpMyAdmin
phpMyAdmin Project

Érintett verziók

phpMyAdmin Project phpMyAdmin 2.x, 3.x

Összefoglaló

Néhány sérülékenységet jelentettek a phpMyAdmin szoftverben, amelyet a rosszindulatú felhasználók kihasználhatnak szkript beszúrásos és SQL befecskendezéses támadások lefolytatásához.

Leírás

A MySQL táblanévként használt bemenet nincs megfelelően megtisztítva használat előtt. Ez kihasználható tetszőleges HTML és szkript kód futtatására a felhasználó böngészőjének munkamenetében, mialatt a rosszindulatú adatokat tartalmazó oldalon böngészik.
A PDF schema generator szolgáltatás számos változójának átadott bemenet nincs megfelelően megtisztítva használat előtt. Ez kihasználható az SQL lekérdezések módosítására, tetszőleges kód befecskendezésével.

A sérülékenységeket a 2.11.9.6 és 3.2.2.1 előtti verzióikban jelentették.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2025-4123 – Grafana cross-site scripting (XSS) sebezhetősége

CVE-2025-33073 – Windows SMB Client Elevation of Privilege sérülékenysége

CVE-2025-2254 – GitLab CE/EE sérülékenysége

CVE-2022-30190 – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution sérülékenysége

CVE-2025-24016 – Wazuh Server Deserialization of Untrusted Data sérülékenysége

CVE-2025-33053 – Web Distributed Authoring and Versioning (WebDAV) External Control of File Name or Path sérülékenysége

CVE-2025-32433 – Erlang Erlang/OTP SSH Server Missing Authentication for Critical Function sérülékenysége

CVE-2024-42009 – RoundCube Webmail Cross-Site Scripting sérülékenysége

CVE-2025-21479 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége

Tovább a sérülékenységekhez »

A phpMyAdmin szkript beszúrás és SQL befecskendezés sérülékenységei