Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Les versions de phpMyAdmin antérieure à 2.8.2.
Description
Une vulnérabilité a été identifiée dans phpMyAdmin. Elle pourrait être utilisée par des attaques de croisement de code (ou Cross Site Scripting), dans la mesure où le champ table n'est pas correctement contrôlé avant d'être retourné à la personne naviguant sur le site. Si le site est vulnérable, il est possible de l'utiliser pour exécuter du code arbitraire en HTML ou des scripts dans le navigateur de cette personne.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Annonce de sécurité PMASA-2006-4 du 30 1er juillet 2006 : http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2006-4
- Bulletin de sécurité FreeBSD du 3 juillet 2006 : http://www.vuxml.org/freebsd/
- Mise à jour sur le site du projet phpMyAdmin le 30 juin 2006 : http://www.phpmyadmin.net/home_page/downloads.php