CH azonosító
CH-6150Angol cím
phpMyAdmin Setup "$host" Script Insertion VulnerabilityFelfedezés dátuma
2011.12.21.Súlyosság
AlacsonyÖsszefoglaló
A phpMyAdmin sérülékenysége vált ismertté, amelyet kihasználva a támadók script beszúrásos támadásokat hajthatnak végre.
Leírás
A setup-on belül, a “$host” változóban átadott bemeneti adat nincs megfelelően megtisztítva, mielőtt felhasználásra kerülne. Ez kihasználható tetszőleges HTML és script kód beszúrására, ami a felhasználó böngésző munkamenetében fog lefutni az érintett oldallal kapcsolatban, a káros tartalom megtekintése közben.
A sérülékenység sikeres kihasználása feltételezi, hogy az ajánlott telepítési gyakorlatot nem tartják be, és a konfigurációs könyvtár írható marad.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.phpmyadmin.net
CVE-2011-4782 - NVD CVE-2011-4782
SECUNIA 47338
