SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer la fonctionnalité de création de base
pour provoquer un Cross Site Scripting dans phpMyAdmin.

Gravité : 2/4

Conséquences : accès/droits client

Provenance : document

Moyen d’attaque : 1 attaque

Compétence de l’attaquant : technicien (2/4)

Confiance : source unique (2/5)

Diffusion de la configuration vulnérable : faible (1/3)

Date création : 15/03/2010

PRODUITS CONCERNÉS

– Unix - plateforme

DESCRIPTION DE LA VULNÉRABILITÉ

Le serveur phpMyAdmin permet d’administrer une base de données
MySQL via un navigateur web.

Le script db_create.php crée une base de données. Le paramètre
"new_db" indique le nom de la base.

Cependant, le paramètre "new_db" n’est pas filtré avant d’être
affiché sur la page web.

Un attaquant peut donc employer la fonctionnalité de création de
base pour provoquer un Cross Site Scripting dans phpMyAdmin.

CARACTÉRISTIQUES

Références : BID-38707, VIGILANCE-VUL-9515

http://vigilance.fr/vulnerabilite/phpMyAdmin-Cross-Site-Scripting-de-db-create-php-9515