Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

phpMyAdmin convcharset : Vulnérabilité Cross-Site Scripting

22/01/2007 14H17
Référence Secunia : SA14799 
Date de publication : 2005-04-04
Dernière mise à jour : 2005-04-13

Risque : Non Critique. Niveau 2 sur 5.
Impact : Cross Site Scripting
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
phpMyAdmin 2.x

Référence CVE :
CVE-2005-0992


Description :
Oriol Torrent Santiago a rapporté une vulnérabilité dans phpMyAdmin, permettant à des personnes malicieuses de conduire des attaques cross-site scripting attack.

L'entrée passée au paramètre "convcharset" dans "index.php" n'est pas contrôlée correctement avant d'être renvoyée à l'utilisateur. Cela pourrait être exploité pour exécuter du code HTML et de script arbitraire dans une session de navigation d'un utilisateur dans le contexte d'un site vulnérable.

La vulnérabilité a été rapportée en versions inférieures à 2.6.2-rc1.


Solutions :
Mettre à jour en version 2.6.2-rc1 ou supérieure.


Vulnérabilité découverte par :

Oriol Torrent Santiago
Historique :
2005-04-13: Référence CVE ajoutée.

Référence :
phpMyAdmin:
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2005-3

Oriol Torrent Santiago:
http://www.arrelnet.com/advisories/adv20050403.html




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.