S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 03 octobre 2006
N° CERTA-2006-AVI-420
Affaire suivie par: CERT-FR
le 03 octobre 2006

Avis du CERT-FR

Objet: Vulnérabilités dans phpMyAdmin

Gestion du document

Référence CERTA-2006-AVI-420
Titre Vulnérabilités dans phpMyAdmin
Date de la première version 03 octobre 2006
Date de la dernière version 03 octobre 2006
Source(s) Bulletin de sécurité phpMyAdmin PMASA-2006-5 du 01 octobre 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité (cross site request forgeries).

Systèmes affectés

phpMyAdmin versions antérieures à 2.9.0.1.

Description

Plusieurs vulnérabilités permettant des attaques en cross site request forgeries (CSRF : attaques utilisant un site web malveillant en rebond pour exécuter des requêtes sur un site web victime) ont été découvertes dans phpMyAdmin. Un utilisateur mal intentionné peut, en incitant un utilisateur de phpMyAdmin à visiter son site web malveillant, exécuter des requêtes SQL sur la base de données de sa victime.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 03 octobre 2006
    version initiale.