CH azonosító
CH-5559Angol cím
phpMyAdmin Multiple Script Insertion VulnerabilitiesFelfedezés dátuma
2011.09.14.Súlyosság
KözepesÖsszefoglaló
A phpMyAdmin sérülékenységei váltak ismertté, amelyeket kihasználva a támadók script beszúrásos (script insertion) támadásokat hajthatnak végre.
Leírás
- Bizonyos bemeneti adatok a helyben történő sor szerkesztés és mentést követően nincsenek megfelelően megtisztítva, mielőtt felhasználásra kerülnének. Ezt kihasználva tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan, a káros tartalom megtekintésekor.
- Bizonyos, tábla-, oszlop- és index névként átadott értékek nincsenek megfelelően megtisztítva, mielőtt felhasználásra kerülnének. Ezt kihasználva tetszőleges HTML és script kódot lehet lefuttatni a felhasználó böngésző munkamenetében, az érintett oldallal kapcsolatosan, a káros tartalom megtekintésekor.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.phpmyadmin.net
SECUNIA 45991