int(3608)

Vulnerability Bulletins

Múltiples cross-site scripting en phpPgAdmin

Vulnerability classification
Property Value
Confidence level Oficial
Impact Integridad
Dificulty Experto
Required attacker level Acceso remoto sin cuenta a un servicio estandar

System information
Property Value
Affected manufacturer GNU/Linux
Affected software phpPgAdmin 3.5 <= 4.1.1

Description
Se han encontrado múltiples cross-site scripting en phpPgAdmin. Las vulnerabilidades son descritas a continuación.

- CVE-2007-2865: Se ha encontrado una vulnerabilidad del tipo cross-site scripting en phpPgAdmin 4.1.1. La vulnerabilidad reside en un error no especificado en el archivo sqledit.php. Un atacante remoto podría inyectar código web script o HTML mediante el parámetro server.

- CVE-2007-5728: Se ha encontrado una vulnerabilidad del tipo cross-site scripting en phpPgAdmin de la versión 3.5 a la 4.1.1 y posiblemente también la 4.1.2. La vulnerabilidad reside en un error no especificado. Un atacante remoto podría inyectar código web script o HTML de forma arbitraria mediante ciertas entradas válidas en PHP_SELF en el archivo redirect.php.

Solution


Actualizaciones de software

Suse Linux
Las actualizaciones pueden descargarse mediante YAST o del servidor FTP oficial de Suse Linux.

Debian (DSA-1693-2)

Debian Linux 4.0
Source
http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1-3.1etch2.dsc
http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1-3.1etch2.diff.gz
http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1.orig.tar.gz
Arquitectura independiente:
http://security.debian.org/pool/updates/main/p/phppgadmin/phppgadmin_4.0.1-3.1etch2_all.deb

Standar resources
Property Value
CVE CVE-2007-2865
CVE-2007-5728
BID 24115
24182

Other resources
SUSE Security Summary Report (SUSE-SR:2007:024)
http://www.novell.com/linux/security/advisories/2007_24_sr.html

Debian Security Advisory (DSA-1693-2)
http://lists.debian.org/debian-security-announce/2009/msg00017.html

Version history
Version Comments Date
1.0 Aviso emitido 2007-11-28
1.1 Aviso actualizado por Debian (DSA-1693-2) 2009-01-22
Ministerio de Defensa
CNI
CCN
CCN-CERT