Vigil@nce : phpMyAdmin, Cross Site Scripting de tbl_tracking.php
septembre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut provoquer un Cross Site Scripting dans la
fonctionnalité de Tracking de table de phpMyAdmin, afin de faire
exécuter du code JavaScript dans le contexte du navigateur web de
la victime.
– Gravité : 2/4
– Date création : 25/08/2011
PRODUITS CONCERNÉS
– TYPO3
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme phpMyAdmin permet d’administrer une base de données
MySQL.
Le script tbl_tracking.php permet de surveiller les changements
d’une table.
Cependant, ce script ne filtre pas ses paramètres "date",
"username", "version", etc. avant de les afficher dans la page
HTML de résultat.
Un attaquant peut donc provoquer un Cross Site Scripting dans la
fonctionnalité de Tracking de table de phpMyAdmin, afin de faire
exécuter du code JavaScript dans le contexte du navigateur web de
la victime.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/phpMyAdmin-Cross-Site-Scripting-de-tbl-tracking-php-10952