Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut injecter du texte dans une page du site web de
phpMyAdmin, afin de tromper certains visiteurs.

Produits concernés : Debian, Fedora, phpMyAdmin.

Gravité : 1/4.

Date création : 23/10/2015.

DESCRIPTION DE LA VULNÉRABILITÉ

Le produit phpMyAdmin utilise la page url.php pour rediriger les
visiteurs vers un site web externe.

Cependant, cette page affiche un message ("Taking you to %s.")
contenant l’url cible. Le nom de cette url est alors injecté
(après passage dans htmlspecialchars()) dans la page HTML, ce qui
la modifie, mais elle n’est visible que par les utilisateurs ayant
JavaScript désactivé (sinon un script redirige automatiquement
l’utilisateur).

Un attaquant peut donc injecter du texte dans une page du site web
de phpMyAdmin, afin de tromper certains visiteurs.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/phpMyAdmin-injection-de-contenu-via-url-php-18174