Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/07/2014
PhpMyAdmin es una popular herramienta, escrita en PHP, para la administración de MySQL a través de un navegador. Este software permite crear, modificar y eliminar bases de datos, tablas, campos, administrar privilegios y, en general, ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.
Tres vulnerabilidades de Cross-site scripting. Con CVE-2014-4954, un fallo al mostrar la página de la estructura de la base de datos localizado en la función 'PMA_getHtmlForActionLinks' del fichero 'libraries/structure.lib.php'. Afecta a 4.2.x.
Con CVE-2014-4955, un fallo al mostrar la página de triggers localizado en la función 'PMA_TRI_getRowForList' del fichero 'libraries/rte/rte_list.lib.php'. Afecta a 4.0.x, 4.1.x y 4.2.x. Y con CVE-2014-4986, múltiples errores en la construcción de mensajes de confirmación AJAX en 'js/functions.js'. Afecta a 4.0.x, 4.1.x y 4.2.x.
Por último, un salto de restricciones (CVE-2014-4987) por un error en 'server_user_groups.php' que permitiría saltar restricciones de seguridad y leer la lista de usuarios MySQL Afecta a 4.1.x y 4.2.x.
PhpMyAdmin versiones 4.0.x, 4.1.x y 4.2.x.
Referencias:CVE-2014-4954, CVE-2014-4955, CVE-2014-4986, CVE-2014-4987
Solución:Las vulnerabilidades se han solucionado en las versiones 4.0.10.1, 4.1.14.2 y 4.2.6.
Notas:Hispasec una-al-dia
PMASA-2014-4
PMASA-2014-5
PMASA-2014-6
PMASA-2014-7