Межсайтовый скриптинг в phpMyAdmin

Дата публикации:
11.04.2005
Всего просмотров:
1343
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: phpMyAdmin версии до 2.6.2-rc1

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к важным данным других пользователей.

Уязвимость обнаружена при обработке входных данных в параметре 'convcharset'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры:

http://[target]/phpmyadmin/index.php?pma_username=
&pma_password=&server=1&lang=en-iso-8859-1&
convcharset=\"><sc ript>alert(document.cookie)</script>

http://[target]/phpmyadmin/index.php?pma_username=&
pma_password=&server=1&lang=en-iso-8859-1&
convcharset=\"><h1>XSS</h1>

URL производителя: www.phpmyadmin.net

Решение: Установите последнюю версию с сайта производителя.

Ссылки: phpMyAdmin Cross-site Scripting Vulnerability

или введите имя

CAPTCHA