CH azonosító
CH-4942Angol cím
phpMyAdmin Redirection Weakness and Script Insertion VulnerabilityFelfedezés dátuma
2011.05.22.Súlyosság
AlacsonyÖsszefoglaló
A phpMyAdmin olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak script beszúrás (script insertion) és hamisításos (spoofing) támadások kezdeményezésére.
Leírás
- Az “url” paraméterrel az url.php-nek átadott bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt a felhasználók átirányításra kerülnének. Ez kihasználható egy felhasználó tetszőleges weboldalra történő átirányítására, amennyiben a felhasználó követ egy megbízható domain-en hostolt script-re mutató speciális hivatkozást.
A sérülékenységet a 3.4.0. verzióban ismerték fel. - Egy adatbázis tábla név létrehozásakor az alkalmazásnak átadott bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt a “Tracking” oldalon kerülne felhasználásra. Ez kihasználható tetszőleges HTML és script kód beszúrására, amely az érintett oldal felhasználói böngésző munkamenetében kerül lefuttatásra, amikor a rosszindulatú adat megtekintésre kerül.
A sérülékenységet a 3.4.0. verzióban és a 3.3.10.1. megelőző verzióban ismerék fel.
Megoldás
Frissítsen a 3.4.1. verzióra.
Támadás típusa
Input manipulation (Bemenet módosítás)Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.phpmyadmin.net
Gyártói referencia: www.phpmyadmin.net
SECUNIA 44641