Vigil@nce - phpMyAdmin : exécution de code PHP
mai 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut employer deux vulnérabilités de
phpMyAdmin, afin de faire exécuter du code PHP.
Produits concernés : MBS, phpMyAdmin
Gravité : 2/4
Date création : 25/04/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans phpMyAdmin.
Un attaquant peut employer un caractère nul dans l’interface
"Replace table prefix", afin de forcer la fonction preg_replace()
à exécuter du code PHP. [grav:2/4 ; CVE-2013-3238, PMASA-2013-2]
Un attaquant peut sauver un fichier dump SQL avec la double
extension ".php.sql", afin de le recharger en tant que fichier
PHP. [grav:2/4 ; BID-59465, CVE-2013-3239, PMASA-2013-3]
Un attaquant authentifié peut donc employer deux vulnérabilités de
phpMyAdmin, afin de faire exécuter du code PHP.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/phpMyAdmin-execution-de-code-PHP-12711