Risque
- Injection de code indirecte ;
- atteinte à l'intégrité des données.
Systèmes affectés
phpMyAdmin, versions antérieures à la version 2.11.8.Résumé
Plusieurs vulnérabilités de phpMyAdmin permettent à un utilisateur malveillant de réaliser de l'injection de code indirecte ou de porter atteinte à l'intégrité des données.
Description
Une première vulnérabilité réside dans un manque de vérification lors des requêtes HTTP. Le détournement par un utilisateur malveillant d'une requête d'un utilisateur authentifié peut conduire à la création d'une base de données ou à la modification du jeu de caractères à l'insu de ce dernier.
Une deuxième vulnérabilité permet à un utilisateur malveillant de réaliser de l'injection de code indirecte (cross site scripting).
Solution
La version 2.11.8 ne présente pas ces vulnérabilités. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site de téléchargement du projet phpMyAdmin :
http://www.phpMyAdmin.net
- Bulletins de sécurité du projet phpMyAdmin :
http://www.phpMyAdmin.net/home_page/security.php?issue=PMASA-2008-5
http://www.phpMyAdmin.net/home_page/security.php?issue=PMASA-2008-6
- Référence CVE CVE-2008-3197 :
https://www.cve.org/CVERecord?id=CVE-2008-3197