Инклюдинг локальных файлов и межсайтовый скриптинг в phpMyAdmin

Дата публикации:
25.10.2005
Всего просмотров:
2076
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: phpMyAdmin 2.6.4-pl2 и более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение и получить доступ к потенциально важной информации на системе.

1. Инклюдинг файлов возможет из-за недостаточной обработки входных данных в некоторых параметрах. Удаленный пользователь может с помощью специально сформированного URL просмотреть произвольные файлы на системе.

2. Межсайтовый скриптинг возможен из-за недостаточной обработки входных данных в сценариях "left.php", "queryframe.php" и "server_databases.php". Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта.

URL производителя: www.phpmyadmin.net

Решение: Установите последнюю версию (2.6.4-pl3) с сайта производителя.
www.phpmyadmin.net/home_page/downloads.php

Источник:

Ссылки: phpMyAdmin Local File Inclusion Vulnerability