Risque
- Atteinte à la confidentialité des données ;
- attaque de type Cross-Site Scripting.
Systèmes affectés
phpMyAdmin versions 2.6.4-pl2 et antérieures.Résumé
Deux vulnérabilités présentes dans phpMyAdmin permettent à un utilisateur distant de porter atteinte à la confidentialité des données ou d'effectuer une attaque de type Cross-Site Scripting.
Description
Deux vulnérabilités sont présentes dans phpMyAdmin :
- La première vulnérabilité est due à un manque de contrôle des paramètres passés à certains scripts php permettant à un utilisateur mal intentionné de modifier certains paramètres sensibles de phpMyAdmin par le biais d'une requête malicieusement construite.
- la seconde vulnérabilité est due à une vérification trop faible des paramètres passés aux scripts : left.php, queryframe.php et server_databases.php. Ceci permet d'exécuter du script potentiellement malveillant au cours d'une consultation par un navigateur tierce.
Solution
La version 2.6.4-pl3 de phpMyAdmin corrige le problème :
http://www.phpmyadmin.net/home_page/downloads.php
Documentation
- Site de phpMyAdmin :
http://www.phpmyadmin.net
- Bulletin de sécurité phpMyAdmin PMASA-2005-5 du 22 octobre 2005 :
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2005-5