S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 16 octobre 2009
N° CERTA-2009-AVI-447
Affaire suivie par: CERT-FR
le 16 octobre 2009

Avis du CERT-FR

Objet: Vulnérabilités dans phpMyAdmin

Gestion du document

Référence CERTA-2009-AVI-447
Titre Vulnérabilités dans phpMyAdmin
Date de la première version 16 octobre 2009
Date de la dernière version 16 octobre 2009
Source(s) Annonce de sécurité phpMyAdmin PMASA-2009-6 du 13 octobre 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Injection de code indirecte ;
  • exécution de requêtes SQL arbitraires.

Systèmes affectés

  • phpMyAdmin 2.11.x ;
  • phpMyAdmin 3.x.

Résumé

Deux vulnérabilités découvertes dans phpMyAdmin permettent à un utilisateur distant malintentionné d'exécuter des requêtes SQL (Structured Query Language) ou de réaliser une injection de code indirecte.

Description

Une vulnérabilité dans le traitement des noms de tables MySQL peut être exploitée afin d'injecter du code arbitraire qui sera exécuté dans le contexte du navigateur Internet d'un utilisateur.

Une autre vulnérabilité, causée par une erreur dans le traitement des entrées fournies à la fonctionnalité PDF schema generator, peut être exploitée afin d'exécuter des requêtes SQL arbitraires.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 16 octobre 2009
    version initiale.