Boletines de Vulnerabilidades |
Vulnerabilidad Cross-site Scripting en phpMyAdmin |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Oficial |
Impacto | Obtener acceso |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado |
phpMyAdmin 3.4.X phpMyAdmin 3.5.X |
Descripción |
|
Se ha detectado diversas vulnerabilidades de tipo Cross-site Scripting: - En la página de la estructura de la base de datos, si se crea una nueva tabla, o usando los vínculos EMPTY y DROP en la tabla creada. - En la página de la tabla de operaciones, usando TRUNCATE y DROP. - En la página de triggers, que contengan tablas creadas con un fin malicioso, al abrir la ventana emergente 'Añadir Trigger'. - Al crear un trigger para la tabla creada con fines maliciosos, usando una definición no válida. - Si se ha introducido información en una tabla de la base de datos, es posible producir un ataque XSS al visualizar información GIS, mediante un nombre de etiqueta creado a tal fin. Además, se ha detectado una vulnerabilidad de revelación de la ruta debida a la ausencia de una librería. |
|
Solución |
|
Si lo desea, puede actualizar a las versiones phpMyAdmin 3.4.11.1 o a 3.5.2.2, o bien aplicar los parches correspondientes que podrán encontrar en: http://www.phpmyadmin.net/home_page/security/PMASA-2012-4.php http://www.phpmyadmin.net/home_page/security/PMASA-2012-3.php |
|
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2012-4345 CVE-2012-4219 |
BID | |
Recursos adicionales |
|
Aviso de seguridad phpMyAdmin (PMASA-2012-4) http://www.phpmyadmin.net/home_page/security/PMASA-2012-4.php Aviso de seguridad phpMyAdmin (PMASA-2012-3) http://www.phpmyadmin.net/home_page/security/PMASA-2012-3.php |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2012-08-21 |