Avis du CERT-FR

Objet: Vulnérabilité dans phpMyAdmin

Gestion du document

Référence	CERTA-2006-AVI-197
Titre	Vulnérabilité dans phpMyAdmin
Date de la première version	16 mai 2006
Date de la dernière version	16 mai 2006
Source(s)	Bulletin de sécurité phpMyAdmin PMASA-2006-2 du 12 mai 2006
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Attaque de type Cross-Site Scripting.

Systèmes affectés

phpMyAdmin versions 2.8.0.3 et antérieures.

Résumé

Une vulnérabilité présente dans phpMyAdmin permet à un utilisateur distant de conduire des attaques de type Cross-Site Scripting.

Description

Un manque de contrôle sur les paramètres db et theme retournés par certains scripts de phpMyAdmin permet à un utilisateur distant mal intentionné de réaliser une attaque de type Cross-Site Scripting.

Solution

La version 2.8.0.4 de phpMyAdmin corrige le problème :

http://www.phpmyadmin.net/home_page/downloads.php

Documentation

Bulletin de sécurité phpMyAdmin PMASA-2006-2 du 12 mai 2006 :

http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2006-2

Bulletin de sécurité Debian DSA 10573 du 16 mai 2006 :
```
http://www.debian.org/security/2006/dsa-10573
```

Référence CVE CVE-2006-2031 :

https://www.cve.org/CVERecord?id=CVE-2006-2031

Gestion détaillée du document

le 16 mai 2006: version initiale.