PhpMyAdmin információ felfedés és hamisítás sérülékenységek

2010. december 13. 08:48

CH azonosító

CH-4051

Angol cím

PhpMyAdmin "error.php" Spoofing Weakness and "phpinfo.php" Information Disclosure

Felfedezés dátuma

2010.12.09.

Súlyosság

Alacsony

Érintett rendszerek

phpMyAdmin
phpMyAdmin Project

Érintett verziók

phpMyAdmin 3.x

Összefoglaló

A phpMyAdmin olyan sérülékenységeit jelentették, amelyeket kihasználva a támadók hozzájuthatnak bizalmas információkhoz és hamisítás (spoofing) támadásokat indíthatnak.

Leírás

A “type” és “error” paraméterek által az error.php-nek átadott bemenet nincs megfelelően ellenőrizve mielőtt felhasználnák. Ez kihasználható korlátozott HTML tartalom megjelenítésére a felhasználó böngészőjében az érintett oldal vonatkozásában, és pl. spoofing támadások végrehajtására.
A sérülékenységet a 3.3.8.1 verzióban igazolták, de más verziók is érintettek lehetnek.
A “phpinfo.php” nem megfelelő jogosultságokkal van tárolva a web gyökérkönyvtárban. Ezt kihasználva bizalmas adatokhoz (pl. PHP beállításokhoz) lehet hozzájutni közvetlenül meghívva a fájlt.
A sebezhetőség kihasználásához szükséges, hogy a phpMyAdmin megjelenítse a “phpinfo()” függvény kimenetét.

Megoldás

Javítva a fejlesztői verzióban.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2017-5754 – Linux Kernel sebezhetősége

CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége

CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége

CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége

CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége

CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége

CVE-2025-3102 – SureTriggers sérülékenysége

CVE-2025-24859 – Apache Roller sebezhetősége

CVE-2024-53197 – Linux Kernel Out-of-Bounds Access sérülékenysége

Tovább a sérülékenységekhez »

PhpMyAdmin információ felfedés és hamisítás sérülékenységek