Vigil@nce - phpMyAdmin : cinq Cross Site Scripting
août 2012 par Marc Jacob
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer cinq Cross Site Scripting de
phpMyAdmin, afin d’exécuter du code JavaScript dans le contexte du
site web.
Gravité : 2/4
Date création : 13/08/2012
Date révision : 16/08/2012
PRODUITS CONCERNÉS
– Mandriva Enterprise Server
– phpMyAdmin
DESCRIPTION DE LA VULNÉRABILITÉ
Le programme phpMyAdmin permet d’administrer une base de données
MySQL. Il comporte cinq vulnérabilités.
La fonction PMA_TRI_handleEditor() du fichier
libraries/rte/rte_triggers.lib.php affiche le contenu de la
requête sans le filtrer. [grav:2/4]
La fonction PMA_TRI_getEditorForm() du fichier
libraries/rte/rte_triggers.lib.php affiche une valeur dans un menu
déroulant sans la filtrer. [grav:2/4]
Le fichier tbl_create.php affiche le nom d’une table sans le
filtrer. [grav:2/4]
Les fichiers js/db_structure.js et js/functions.js affichent le
nom d’une table sans le filtrer. [grav:2/4]
Le fichier js/tbl_gis_visualization.js affiche les données GIS
sans le filtrer. [grav:2/4]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/phpMyAdmin-cinq-Cross-Site-Scripting-11842