Risques

  • Atteinte à la confidentialité des données
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

phpMyAdmin 2.x.

Résumé

Une vulnérabilité dans phpMyAdmin permet à un utilisateur mal intentionné de porter atteinte à la confidentialité des données, de réaliser des attaques de type Cross Site Scripting ou d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité dans l'émulation register_global dans le fichier grab_globals.php permet à un utilisateur mal intentionné d'écraser la valeur de la variable import_blacklist afin d'exécuter du code arbitraire à distance sur les postes clients accédant au serveur compromis.

Solution

Appliquer la mise à jour de sécurité phpMyAdmin en passant à la version 2.7.0-pl1 disponible à l'adresse suivante :

http://sourceforge.net/project/showfiles.php?group_id=23067

Documentation