Avis du CERTA : Multiples vulnérabilités dans phpMyAdmin
novembre 2007 par CERT-FR
1 Risque
* Exécution de code arbitraire à distance ;
* contournement de la politique de sécurité.
2 Systèmes affectés
Les versions antérieures à phpMyAdmin 2.11.2.1
3 Résumé
De multiples vulnérabilités dans phpMyAdmin permettent à un individu
malveillant le contournement de la politique de sécurité et l’exécution de code
arbitraire à distance.
4 Description
Deux vulnérabilités touchent phpMyAdmin :
* la première permet un coutournement de la politique de sécurité via
l’injection de code SQL ;
* le seconde permet une exécution de code arbitraire à distance via une
injection de code indirecte (Cross Site Scripting) et son exécution par le
navigateur de la victime.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité phpMyAdmin PMASA-2007-7 du 11 novembre 2007 :
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2007-7