Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidad Cross-site Scripting en phpMyAdmin |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado |
phpMyAdmin 3.4.X phpMyAdmin 3.5.X |
Descripción |
|
|
Se ha detectado diversas vulnerabilidades de tipo Cross-site Scripting: - En la página de la estructura de la base de datos, si se crea una nueva tabla, o usando los vínculos EMPTY y DROP en la tabla creada. - En la página de la tabla de operaciones, usando TRUNCATE y DROP. - En la página de triggers, que contengan tablas creadas con un fin malicioso, al abrir la ventana emergente 'Añadir Trigger'. - Al crear un trigger para la tabla creada con fines maliciosos, usando una definición no válida. - Si se ha introducido información en una tabla de la base de datos, es posible producir un ataque XSS al visualizar información GIS, mediante un nombre de etiqueta creado a tal fin. Además, se ha detectado una vulnerabilidad de revelación de la ruta debida a la ausencia de una librería. |
|
Solución |
|
|
Si lo desea, puede actualizar a las versiones phpMyAdmin 3.4.11.1 o a 3.5.2.2, o bien aplicar los parches correspondientes que podrán encontrar en: http://www.phpmyadmin.net/home_page/security/PMASA-2012-4.php http://www.phpmyadmin.net/home_page/security/PMASA-2012-3.php |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE |
CVE-2012-4345 CVE-2012-4219 |
| BID | |
Recursos adicionales |
|
|
Aviso de seguridad phpMyAdmin (PMASA-2012-4) http://www.phpmyadmin.net/home_page/security/PMASA-2012-4.php Aviso de seguridad phpMyAdmin (PMASA-2012-3) http://www.phpmyadmin.net/home_page/security/PMASA-2012-3.php |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-08-21 |