Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/08/2012
Vulnerabilidad Cross-site Scripting en phpMyAdmin
La herramienta de administración sufre varias vulnerabilidades de tipo Cross-site Scripting, además de una revelación de ruta internaSe ha detectado diversas vulnerabilidades de tipo Cross-site Scripting:
- En la página de la estructura de la base de datos, si se crea una nueva tabla, o usando los vínculos EMPTY y DROP en la tabla creada.
- En la página de la tabla de operaciones, usando TRUNCATE y DROP.
- En la página de triggers, que contengan tablas creadas con un fin malicioso, al abrir la ventana emergente "Añadir Trigger".
- Al crear un trigger para la tabla creada con fines maliciosos, usando una definición no válida.
- Si se ha introducido información en una tabla de la base de datos, es posible producir un ataque XSS al visualizar información GIS, mediante un nombre de etiqueta creado a tal fin.
Además, se ha detectado una vulnerabilidad de revelación de la ruta debida a la ausencia de una librería.
Sistemas Afectados:- phpMyAdmin 3.4.X
- phpMyAdmin 3.5.X
CVE-2012-4345, CVE-2012-4219
Solución:Si lo desea, puede actualizar a las versiones phpMyAdmin 3.4.11.1 o a 3.5.2.2, o bien aplicar los parches correspondientes que podrán encontrar en:
http://www.phpmyadmin.net/home_page/security/PMASA-2012-4.php
http://www.phpmyadmin.net/home_page/security/PMASA-2012-3.php
Aviso de seguridad phpMyAdmin (PMASA-2012-4)
http://www.phpmyadmin.net/home_page/security/PMASA-2012-4.php
Aviso de seguridad phpMyAdmin (PMASA-2012-3)
http://www.phpmyadmin.net/home_page/security/PMASA-2012-3.php