Avis du CERT-FR

Objet: Vulnérabilité dans phpMyAdmin

Gestion du document

Référence	CERTA-2009-AVI-148
Titre	Vulnérabilité dans phpMyAdmin
Date de la première version	17 avril 2009
Date de la dernière version	17 avril 2009
Source(s)	Bulletin de sécurité phpMyAdmin PMASA-2009-4 du 14 avril 2009
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

phpMyAdmin versions antérieures à la 3.1.3.2.

Résumé

Une vulnérabilité dans phpMyAdmin permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

Description

Une erreur dans le traitement des paramètres par le script d'installation permet à une personne distante malintentionnée d'injecter du code PHP dans le fichier de configuration de phpMyAdmin via une requête POST spécialement construite.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité phpMyAdmin PMASA-2009-4 du 14 avril 2009 :
```
http://www.phpmyadmin.net/home_page/security/PMASA-2009-4.php
```

Référence CVE CVE-2009-1285 :

https://www.cve.org/CVERecord?id=CVE-2009-1285

Gestion détaillée du document

le 17 avril 2009: version initiale.