{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"phpMyAdmin versions 2.11.x ant\u00e9rieures \u00e0 2.11.9.5 ;","product":{"name":"phpMyAdmin","vendor":{"name":"phpMyAdmin","scada":false}}},{"description":"phpMyAdmin versions 3.x ant\u00e9rieures \u00e0 3.1.3.1.","product":{"name":"phpMyAdmin","vendor":{"name":"phpMyAdmin","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans phpMyAdmin :\n\n-   la fonctionnalit\u00e9 des flux BLOB permet d'inclure des fichiers\n    distants et d'injecter des ent\u00eates HTTP (PMASA-2009-1). Cette\n    vuln\u00e9rabilit\u00e9 n'affecte que les versions depuis 3.1.0.0 ;\n-   la page d'export fait appel \u00e0 des cookies qui peuvent \u00eatre modifi\u00e9s\n    de telle sorte \u00e0 r\u00e9aliser une attaque de type cross-site scripting\n    (PMASA-2009-2) ;\n-   les scripts d'installation utilis\u00e9s pour cr\u00e9er le fichier de\n    configuration peuvent \u00eatre d\u00e9tourn\u00e9s au moyen d'une requ\u00eate POST\n    afin de provoquer l'inclusion d'un fichier distant (PMASA-2009-3).\n\n## Solution\n\nSe r\u00e9f\u00e9rer aux bulletins de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2009-1151","url":"https://www.cve.org/CVERecord?id=CVE-2009-1151"},{"name":"CVE-2009-1148","url":"https://www.cve.org/CVERecord?id=CVE-2009-1148"},{"name":"CVE-2009-1150","url":"https://www.cve.org/CVERecord?id=CVE-2009-1150"},{"name":"CVE-2009-1149","url":"https://www.cve.org/CVERecord?id=CVE-2009-1149"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 phpMyAdmin PMASA-2009-2 du 24 mars    2009 :","url":"http://www.phpmyadmin.net/home_page/security/PMASA-2009-2.php"},{"title":"Bulletin de s\u00e9curit\u00e9 phpMyAdmin PMASA-2009-1 du 24 mars    2009 :","url":"http://www.phpmyadmin.net/home_page/security/PMASA-2009-1.php"},{"title":"Bulletin de s\u00e9curit\u00e9 phpMyAdmin PMASA-2009-3 du 24 mars    2009 :","url":"http://www.phpmyadmin.net/home_page/security/PMASA-2009-3.php"}],"reference":"CERTA-2009-AVI-117","revisions":[{"description":"version initiale.","revision_date":"2009-03-26T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Injections de code indirectes"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s dans <span class=\"textit\">phpMyAdmin</span>\npermettent de r\u00e9aliser des injections de code indirectes et d'ex\u00e9cuter\ndu code arbitraire \u00e0 distance.\n","title":"Vuln\u00e9rabilit\u00e9s dans phpMyAdmin","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 phpMyAdmin PMASA-2009-1 du 24 mars 2009","url":null},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 phpMyAdmin PMASA-2009-2 du 24 mars 2009","url":null},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 phpMyAdmin PMASA-2009-3 du 24 mars 2009","url":null}]}