Risques
- Atteinte à l'intégrité des données
- Injection de code indirecte
Systèmes affectés
phpMyAdmin, versions antérieures à la version 2.11.8.
Résumé
Plusieurs vulnérabilités de phpMyAdmin permettent à un utilisateur malveillant de réaliser de l'injection de code indirecte ou de porter atteinte à l'intégrité des données.
Description
Une première vulnérabilité réside dans un manque de vérification lors des requêtes HTTP. Le détournement par un utilisateur malveillant d'une requête d'un utilisateur authentifié peut conduire à la création d'une base de données ou à la modification du jeu de caractères à l'insu de ce dernier.
Une deuxième vulnérabilité permet à un utilisateur malveillant de réaliser de l'injection de code indirecte (cross site scripting).
Solution
La version 2.11.8 ne présente pas ces vulnérabilités. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité du projet phpMyAdmin : http://www.phpMyAdmin.net/home_page/security.php?issue=PMASA-2008-5
- Bulletins de sécurité du projet phpMyAdmin : http://www.phpMyAdmin.net/home_page/security.php?issue=PMASA-2008-6
- Site de téléchargement du projet phpMyAdmin : http://www.phpMyAdmin.net
- Référence CVE CVE-2008-3197 https://www.cve.org/CVERecord?id=CVE-2008-3197
