S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 01 août 2008
N° CERTA-2008-AVI-383
Affaire suivie par: CERT-FR
le 01 août 2008

Avis du CERT-FR

Objet: Vulnérabilités de phpMyAdmin

Gestion du document

Référence CERTA-2008-AVI-383
Titre Vulnérabilités de phpMyAdmin
Date de la première version 01 août 2008
Date de la dernière version 01 août 2008
Source(s) Bulletins PMASA-2008-5 et PMASA-2008-6
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Injection de code indirecte ;
  • atteinte à l'intégrité des données.

Systèmes affectés

phpMyAdmin, versions antérieures à la version 2.11.8.

Résumé

Plusieurs vulnérabilités de phpMyAdmin permettent à un utilisateur malveillant de réaliser de l'injection de code indirecte ou de porter atteinte à l'intégrité des données.

Description

Une première vulnérabilité réside dans un manque de vérification lors des requêtes HTTP. Le détournement par un utilisateur malveillant d'une requête d'un utilisateur authentifié peut conduire à la création d'une base de données ou à la modification du jeu de caractères à l'insu de ce dernier.

Une deuxième vulnérabilité permet à un utilisateur malveillant de réaliser de l'injection de code indirecte (cross site scripting).

Solution

La version 2.11.8 ne présente pas ces vulnérabilités. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 01 août 2008
    version initiale.