Avis du CERTA : Vulnérabilité dans phpMyAdmin
mars 2008 par CERT-FR
1 Risque
Injection de requêtes SQL.
2 Systèmes affectés
phpMyAdmin versions 2.11.4 et antérieures.
3 Résumé
Une vulnérabilité dans phpMyAdmin permet à un utilisateur distant d’effectuer
des requêtes SQL arbitraires.
4 Description
Une vulnérabilité a été identifiée dans phpMyAdmin. Celle-ci est relative à la
façon dont sont manipulés les paramètres d’une requête HTTP passée à
phpMyAdmin. Cette faille permet, sous certaines conditions, de remplacer un «
cookie » légitime par un autre quelconque. Il est alors possible via ce cookie
conçu de façon particulière d’effectuer des reqêtes SQL arbitraires.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Site de phpMyAdmin :
* Bulletin de sécurité phpMyAdmin PMASA-2008-1 du 01 mars 2008 :
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2008-1