Vigil@nce - phpMyAdmin : Cross Site Scripting de tbl_gis_visualization
avril 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut provoquer un Cross Site Scripting
dans tbl_gis_visualization.php de phpMyAdmin, afin d’exécuter du
code JavaScript dans le contexte du site web.
Produits concernés : phpMyAdmin
Gravité : 1/4
Date création : 09/04/2013
DESCRIPTION DE LA VULNÉRABILITÉ
La page tbl_gis_visualization.php de phpMyAdmin génère une vue
graphique.
Cependant, elle ne filtre pas ses paramètres
"visualizationSettings[width]" et "visualizationSettings[height]"
avant de les insérer dans les documents HTML générés.
Un attaquant authentifié peut donc provoquer un Cross Site
Scripting dans tbl_gis_visualization.php de phpMyAdmin, afin
d’exécuter du code JavaScript dans le contexte du site web.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/phpMyAdmin-Cross-Site-Scripting-de-tbl-gis-visualization-12618