Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

22/08/2012

Vulnerabilitat Cross-site Scripting en phpMyAdmin

La ferramenta d’administració patix diverses vulnerabilitats de tipus Cross-site Scripting, a més d’una revelació de ruta interna

S’ha detectat diverses vulnerabilitats de tipus Cross-site Scripting:

• En la pàgina de l’estructura de la base de dades, si es crea una nova taula, o usant els vincles EMPTY i DROP en la taula creada.
• En la pàgina de la taula d’operacions, usant TRUNCATE i DROP.
• En la pàgina de triggers, que continguen taules creades amb un fi maliciós, a l’obrir la finestra emergent "Afegir Trigger".
• Al crear un trigger per a la taula creada amb fins maliciosos, usant una definició no vàlida.
• Si s’ha introduït informació en una taula de la base de dades, és possible produir un atac XSS al visualitzar informació GIS, per mitjà d’un nom d’etiqueta creat amb este fi.

A més, s’ha detectat una vulnerabilitat de revelació de la ruta deguda a l’absència d’una llibreria.

Sistemes Afectats:

• phpMyAdmin 3.4.X
• phpMyAdmin 3.5.X

Referències:

CVE-2012-4345, CVE-2012-4219

Solució:

Si ho desitja, pot actualitzar a les versions phpMyAdmin 3.4.11.1 o a 3.5.2.2, o bé aplicar els pedaços corresponents que podran trobar en:

http://www.phpmyadmin.net/home_page/security/PMASA-2012-4.php

http://www.phpmyadmin.net/home_page/security/PMASA-2012-3.php

Notes:

Avís de seguretat phpMyAdmin (PMASA-2012-4)
http://www.phpmyadmin.net/home_page/security/PMASA-2012-4.php

Avís de seguretat phpMyAdmin (PMASA-2012-3)
http://www.phpmyadmin.net/home_page/security/PMASA-2012-3.php

CSIRT-CV