Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Vigil@nce - phpMyAdmin : multiples vulnérabilités

janvier 2017 par Vigil@nce

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de phpMyAdmin.

Produits concernés : Debian, Fedora, openSUSE, openSUSE Leap, phpMyAdmin, Synology DSM, Synology DS***, Synology RS***.

Gravité : 2/4.

Date création : 25/11/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans phpMyAdmin.

Un attaquant peut tromper l’utilisateur, afin de le rediriger vers un site malveillant. [grav:1/4 ; CVE-2016-4412, PMASA-2016-57]

Un attaquant peut contourner les mesures de sécurité via blowfish_secret, afin d’obtenir des informations sensibles. [grav:2/4 ; CVE-2016-9847, PMASA-2016-58]

Un attaquant peut contourner les mesures de sécurité via HttpOnly Cookies, afin d’obtenir des informations sensibles. [grav:1/4 ; CVE-2016-9848, PMASA-2016-59]

Un attaquant peut contourner les mesures de sécurité via Null Byte, afin d’élever ses privilèges. [grav:2/4 ; CVE-2016-9849, PMASA-2016-60]

Un attaquant peut contourner les mesures de sécurité via Allow/deny Rules, afin d’élever ses privilèges. [grav:2/4 ; CVE-2016-9850, PMASA-2016-61]

Un attaquant peut contourner les mesures de sécurité via Logout Timeout, afin d’élever ses privilèges. [grav:1/4 ; CVE-2016-9851, PMASA-2016-62]

Un attaquant peut contourner les mesures de sécurité via Full Path Disclosure, afin d’obtenir des informations sensibles. [grav:1/4 ; CVE-2016-9852, CVE-2016-9853, CVE-2016-9854, CVE-2016-9855, PMASA-2016-63]

Un attaquant peut provoquer un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web. [grav:2/4 ; CVE-2016-9856, CVE-2016-9857, PMASA-2016-64]

Un attaquant peut provoquer une erreur fatale, afin de mener un déni de service. [grav:2/4 ; CVE-2016-9858, CVE-2016-9859, CVE-2016-9860, PMASA-2016-65]

Un attaquant peut tromper l’utilisateur, afin de le rediriger vers un site malveillant. [grav:1/4 ; CVE-2016-9861, PMASA-2016-66]

Un attaquant peut utiliser une vulnérabilité via BBCode, afin d’exécuter du code. [grav:2/4 ; CVE-2016-9862, PMASA-2016-67]

Un attaquant peut provoquer une erreur fatale via Table Partitioning, afin de mener un déni de service. [grav:2/4 ; CVE-2016-9863, PMASA-2016-68]

Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données. [grav:2/4 ; CVE-2016-9864, PMASA-2016-69]

Un attaquant peut utiliser une vulnérabilité via PMA_safeUnserialize, afin d’exécuter du code. [grav:2/4 ; CVE-2016-9865, PMASA-2016-70]

Un attaquant peut provoquer un Cross Site Request Forgery, afin de forcer la victime à effectuer des opérations. [grav:2/4 ; CVE-2016-9866, PMASA-2016-71]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/...




Voir les articles précédents

    

Voir les articles suivants