Vigil@nce : phpMyAdmin, Cross Site Scripting de libraries
juin 2008 par Vigil@nce
Un attaquant peut provoquer un attaque de type Cross Site
Scripting dans phpMyAdmin.
– Gravité : 2/4
– Conséquences : accès/droits client
– Provenance : document
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 24/06/2008
– Référence : VIGILANCE-VUL-7908
PRODUITS CONCERNÉS
Unix - plateforme
DESCRIPTION
Le programme phpMyAdmin permet d’administrer une base de données
MySQL.
Le répertoire /libraries contient plusieurs fichiers qui affichent
les arguments reçus sans les filtrer. Cette vulnérabilité peut
être exploitée lorsque register_globals est activé et lorsque le
fichier ".htaccess" situé dans le répertoire /libraries est ignoré
par Apache.
Un attaquant peut donc mener une attaque de type Cross Site
Scripting, lorsque la victime est authentifiée sur phpMyAdmin.
CARACTÉRISTIQUES
– Références : PMASA-2008-4, VIGILANCE-VUL-7908
– Url : https://vigilance.aql.fr/arbre/1/7908