Gravité : 2/4

Conséquences : accès/droits client

Provenance : document

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : source unique (2/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Date création : 01/07/2009

PRODUITS CONCERNÉS

– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le serveur phpMyAdmin permet d’administrer une base de données
MySQL via un navigateur web.

Le paramètre "db" indique le nom de la base de données. Ce
paramètre est vérifié par phpMyAdmin. Cependant cette vérification
est contournée si "db" commence par un double échappement comme :
">’>

Un attaquant peut donc employer le paramètre db pour provoquer un
Cross Site Scripting dans phpMyAdmin.

CARACTÉRISTIQUES

Références : BID-35531, VIGILANCE-VUL-8832

http://vigilance.fr/vulnerabilite/phpMyAdmin-Cross-Site-Scripting-de-db-8832