Risque
- Attaque de type cross-site scripting
Systèmes affectés
phpMyAdmin versions 2.8.0.3 et antérieures.
Résumé
Une vulnérabilité présente dans phpMyAdmin permet à un utilisateur distant de conduire des attaques de type Cross-Site Scripting.
Description
Un manque de contrôle sur les paramètres db et theme retournés par certains scripts de phpMyAdmin permet à un utilisateur distant mal intentionné de réaliser une attaque de type Cross-Site Scripting.
Solution
La version 2.8.0.4 de phpMyAdmin corrige le problème :
http://www.phpmyadmin.net/home_page/downloads.php
Documentation
- Bulletin de sécurité phpMyAdmin PMASA-2006-2 du 12 mai 2006 http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2006-2
- Bulletin de sécurité Debian DSA 10573 du 16 mai 2006 : http://www.debian.org/security/2006/dsa-10573
- Référence CVE CVE-2006-2031 https://www.cve.org/CVERecord?id=CVE-2006-2031