avis de vulnérabilité CVE-2009-2284

phpMyAdmin : Cross Site Scripting de bookmark

Synthèse de la vulnérabilité

Un attaquant peut employer la fonctionnalité bookmark pour provoquer un Cross Site Scripting dans phpMyAdmin.

Gravité : 2/4. Date création : 02/07/2009.

Description de la vulnérabilité

Le serveur phpMyAdmin permet d'administrer une base de données MySQL via un navigateur web. La fonctionnalité "bookmark" mémorise les requêtes SQL fréquemment employées. La fonction PMA_formatSql() du fichier libraries/common.lib.php formate une requête SQL, pour l'afficher en texte ou HTML. Cependant, les caractères spéciaux contenus dans la requête ne sont pas filtrés avant d'être affichés. Un attaquant peut donc employer la fonctionnalité bookmark pour provoquer un Cross Site Scripting dans phpMyAdmin.

Bulletin Vigil@nce complet

Accès au bulletin Vigil@nce complet

Caractéristiques

Titre : phpMyAdmin : Cross Site Scripting de bookmark. Mots clés : Cross HTML MySQL PMA_formatSql SQL Scripting Site bookmark phpMyAdmin. Références : BID-35543, CVE-2009-2284, FEDORA-2009-7329, FEDORA-2009-7337, FEDORA-2009-7340, MDVSA-2009:192, PMASA-2009-5, VIGILANCE-VUL-8834.

Sources d'information

Publications et annonces Exemple de source : It was possible to conduct an XSS attack via a crafted SQL bookmark.

Solutions pour cette vulnérabilité

Patch correctif ou contre-mesure

Service de veille sur les vulnérabilités informatiques

Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information.
La base de vulnérabilités Vigil@nce contient plusieurs milliers de failles.
Ce bulletin a été rédigé par l'équipe Vigil@nce, qui surveille les vulnérabilités informatiques de systèmes et d'applications.
Service de veille sur les vulnérabilités informatiques