Межсайтовое выполнение сценариев в phpMyAdmin

Описание:
Обнаружена уязвимость в phpMyAdmin. Удаленный атакующий может провести XSS атаку и получить доступ к важным данным пользователей.

Уязвимость существует если параметр 'PmaAbsoluteUri' явно не задан в файле конфигураций 'config.inc.php'. Удаленный атакующий может использовать процесс автоматического определения для проведения XSS атаки. Удаленный атакующий может создать специальным образом URL, который выполнит произвольный HTML код в браузере целевого пользователя. Пример:

http://[target]/[phpMyAdmin_directory]/main.php?"><script>alert(document.cookie)</script></

Уязвимость, также, существует при обработке входных данных параметра 'zero_rows' в файле 'read_dump.php'. Пример:

http://[target]/[phpMyAdmin_directory]/read_dump .php?sql_query=set%20@1=1&zero_rows=<script>alert(document.cookie)</script>

Уязвимость существует при обработке входных данных форм. Пример:

http://[target]/[phpMyAdmin_directory]/read_dump.php?sql_query=drop%20database%20EXAMPL
E&zero_rows="><script>alert(document.cookie)</script><input%20type=hidden%20value="/

URL производителя: www.phpmyadmin.net

Решение: Установите последнюю версию
http://www.phpmyadmin.net/home_page/downloads.php