CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/07/2014

Boletines de seguridad para phpMyAdmin

Se han publicado nuevas versiones de phpMyAdmin que subsanan errores de cross-site scripting (XSS) y salto de restricciones, calificadas de no críticas al ser necesario estar autenticado para explotarlas.

Riesgo: Medio

PhpMyAdmin es una popular herramienta, escrita en PHP, para la administración de MySQL a través de un navegador. Este software permite crear, modificar y eliminar bases de datos, tablas, campos, administrar privilegios y, en general, ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.

Tres vulnerabilidades de Cross-site scripting. Con CVE-2014-4954, un fallo al mostrar la página de la estructura de la base de datos localizado en la función 'PMA_getHtmlForActionLinks' del fichero 'libraries/structure.lib.php'. Afecta a 4.2.x.

Con CVE-2014-4955, un fallo al mostrar la página de triggers localizado en la función 'PMA_TRI_getRowForList' del fichero 'libraries/rte/rte_list.lib.php'. Afecta a 4.0.x, 4.1.x y 4.2.x. Y con CVE-2014-4986, múltiples errores en la construcción de mensajes de confirmación AJAX en 'js/functions.js'. Afecta a 4.0.x, 4.1.x y 4.2.x.

Por último, un salto de restricciones (CVE-2014-4987) por un error en 'server_user_groups.php' que permitiría saltar restricciones de seguridad y leer la lista de usuarios MySQL Afecta a 4.1.x y 4.2.x.

Sistemas Afectados:

PhpMyAdmin versiones 4.0.x, 4.1.x y 4.2.x.

Referencias:

CVE-2014-4954, CVE-2014-4955, CVE-2014-4986, CVE-2014-4987

Solución:

 Las vulnerabilidades se han solucionado en las versiones 4.0.10.1, 4.1.14.2 y 4.2.6.

Notas:

Hispasec una-al-dia
PMASA-2014-4

PMASA-2014-5
PMASA-2014-6
PMASA-2014-7

Fuente: Hispasec una-al-día

CSIRT-CV