Érintett rendszerek
phpMyAdminphpMyAdmin Project
Érintett verziók
phpMyAdmin Project phpMyAdmin 2.x, 3.x
Összefoglaló
Több sérülékenységet jelentettek a phpMyAdminban, amelyet rosszindulatú támadók kihasználhatnak cross-site scripting támadások lefolytatására vagy a sebezhető rendszerek föltörésére..
Leírás
Több sérülékenységet jelentettek a phpMyAdminban, amelyet rosszindulatú támadók kihasználhatnak cross-site scripting támadások lefolytatására vagy a sebezhető rendszerek föltörésére..
- Az export oldal “sütijein” keresztül átadott bemenet nincs megfelelően megtisztítva mielőtt visszakerülne a felhasználóhoz. Ez kihasználható a felhasználó böngészőjében, az érintett oldal környezetében történő tetszőleges HTML és szkript kód futtatásához.
- A sebezhetőség oka, hogy az alkalmazás nem kellően tisztítja meg a beállítási paramétereket a telepítés során. Ezt kihasználva tetszőleges PHP kód fecskendezhető be a phpMyAdmin konfigurációs állományába.
Megjegyzés: A sérülékenységek kiaknázása akkor lehetséges, ha a telepítést nem az ajánlott módon végezték és nem törölték a beállító scripteket a telepítés után.
A sérülékenységet a 2.11.9.5 és a 3.1.3.1 korábbi verzióinál jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.phpmyadmin.net
Gyártói referencia: www.phpmyadmin.net
SECUNIA 34430
CVE-2009-1150 - NVD CVE-2009-1150
CVE-2009-1151 - NVD CVE-2009-1151