Orange Business Services
Vigil@nce Vigil@nce Vigil@nce
nous veillons pour votre sécurité depuis 1999
 accueil présentation vulnérabilités documentation contact  
espace abonné espace abonné
accès gratuit accès gratuit
L'équipe Vigil@nce veille les vulnérabilités qui affectent votre parc informatique, puis propose les correctifs, une base et les outils pour y remédier.
vulnérabilités récentes vulnérabilités récentes
produits suivis produits suivis
fil RSS fil RSS
vulnérabilité

avis de vulnérabilité CVE-2009-2284

phpMyAdmin : Cross Site Scripting de bookmark

Synthèse de la vulnérabilité

Un attaquant peut employer la fonctionnalité bookmark pour provoquer un Cross Site Scripting dans phpMyAdmin.
Gravité : 2/4.
Date création : 02/07/2009.

Produits concernés

Description de la vulnérabilité

Le serveur phpMyAdmin permet d'administrer une base de données MySQL via un navigateur web. La fonctionnalité "bookmark" mémorise les requêtes SQL fréquemment employées.

La fonction PMA_formatSql() du fichier libraries/common.lib.php formate une requête SQL, pour l'afficher en texte ou HTML. Cependant, les caractères spéciaux contenus dans la requête ne sont pas filtrés avant d'être affichés.

Un attaquant peut donc employer la fonctionnalité bookmark pour provoquer un Cross Site Scripting dans phpMyAdmin.

Partagez ce bulletin

Delicious Digg Facebook Google bookmarks LinkedIn Mail Reddit StumbleUpon Technorati Twitter Yahoo 

Bulletin Vigil@nce complet

phpMyAdmin : Cross Site Scripting de bookmark

Caractéristiques

Titre : phpMyAdmin : Cross Site Scripting de bookmark.
Mots clés : Cross HTML MySQL PMA_formatSql SQL Scripting Site bookmark phpMyAdmin.
Références : BID-35543, CVE-2009-2284, FEDORA-2009-7329, FEDORA-2009-7337, FEDORA-2009-7340, MDVSA-2009:192, PMASA-2009-5, VIGILANCE-VUL-8834.

Sources d'information

Publications et annonces
Exemple de source : It was possible to conduct an XSS attack via a crafted SQL bookmark.

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une analyse de vulnérabilités applicatives. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. La cellule de veille technologique suit les menaces sécurité qui ciblent le parc informatique. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications.



















Copyright 1999-2012 Vigil@nce. Vigil@nce est proposé par Orange Business Services. Plan du site. Mention légale. English version