Vulnérabilité dans phpMyAdmin

Gestion du document

Référence	CERTA-2006-AVI-275-001
Titre	Vulnérabilité dans phpMyAdmin
Date de la première version	07 juillet 2006
Date de la dernière version	21 juillet 2006
Source(s)	Bulletin de sécurité du projet phpMyAdmin
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Les versions de phpMyAdmin antérieure à 2.8.2.

Description

Une vulnérabilité a été identifiée dans phpMyAdmin. Elle pourrait être utilisée par des attaques de croisement de code (ou Cross Site Scripting), dans la mesure où le champ table n'est pas correctement contrôlé avant d'être retourné à la personne naviguant sur le site. Si le site est vulnérable, il est possible de l'utiliser pour exécuter du code arbitraire en HTML ou des scripts dans le navigateur de cette personne.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Mise à jour sur le site du projet phpMyAdmin le 30 juin 2006 :
```
http://www.phpmyadmin.net/home_page/downloads.php
```

Annonce de sécurité PMASA-2006-4 du 30 1er juillet 2006 :

http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2006-4

Bulletin de sécurité FreeBSD du 3 juillet 2006 :
```
http://www.vuxml.org/freebsd/
```

Gestion détaillée du document

le 07 juillet 2006: version initiale ;

le 21 juillet 2006: ajout de la référence au bulletin de sécurité FreeBSD.

Avis du CERT-FR

Objet: Vulnérabilité dans phpMyAdmin