Vulnérabilité dans phpMyAdmin

Gestion du document

Référence	CERTA-2011-AVI-643
Titre	Vulnérabilité dans phpMyAdmin
Date de la première version	17 novembre 2011
Date de la dernière version	17 novembre 2011
Source(s)	Bulletin de sécurité phpMyAdmin PMASA-2011-17 du 10 novembre 2011

Risque

Atteinte à la confidentialité des données

Systèmes affectés

phpMyAdmin versions 3.3.x et 3.4.x.

Résumé

Une vulnérabilité dans phpMyAdmin permet à une personne malveillante de récupérer un fichier local.

Description

L'importation d'un fichier XML spécialement conçu qui contient une injection d'entité XML permet à une personne malveillante de récupérer un fichier local, en étant toutefois limité par les droits de l'utilisateur sous lequel le serveur web s'exécute. La personne malveillante doit être connectée à MySQL via phpMyAdmin pour réaliser son attaque.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité TYPO3 du 15 novembre 2011 :

http://typo3.org/teams/security/security-bulletins/typo3-extensions/typo3-ext-sa-2011-018/

Bulletin de sécurité phpMyAdmin du 10 novembre 2011 :

http://www.phpmyadmin.net/home_page/security/PMASA-2011-17.php

Référence CVE CVE-2011-4107

https://www.cve.org/CVERecord?id=CVE-2011-4107

Avis du CERT-FR

Objet: Vulnérabilité dans phpMyAdmin