L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

annonce de vulnérabilité CVE-2016-6606 CVE-2016-6607 CVE-2016-6608

phpMyAdmin : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de phpMyAdmin.
Produits concernés : Debian, Fedora, openSUSE, openSUSE Leap, phpMyAdmin, TYPO3 Extensions ~ non exhaustif.
Gravité : 3/4.
Date création : 17/08/2016.
Références : CVE-2016-6606, CVE-2016-6607, CVE-2016-6608, CVE-2016-6609, CVE-2016-6610, CVE-2016-6611, CVE-2016-6612, CVE-2016-6613, CVE-2016-6614, CVE-2016-6615, CVE-2016-6616, CVE-2016-6617, CVE-2016-6618, CVE-2016-6619, CVE-2016-6620, CVE-2016-6621, CVE-2016-6622, CVE-2016-6623, CVE-2016-6624, CVE-2016-6625, CVE-2016-6626, CVE-2016-6627, CVE-2016-6628, CVE-2016-6629, CVE-2016-6630, CVE-2016-6631, CVE-2016-6632, CVE-2016-6633, DLA-626-1, DLA-757-1, DLA-834-1, FEDORA-2016-06e4de8210, FEDORA-2016-2eef68e635, openSUSE-SU-2016:2168-1, openSUSE-SU-2016:2176-1, PMASA-2016-29, PMASA-2016-30, PMASA-2016-31, PMASA-2016-32, PMASA-2016-33, PMASA-2016-34, PMASA-2016-35, PMASA-2016-36, PMASA-2016-37, PMASA-2016-38, PMASA-2016-39, PMASA-2016-40, PMASA-2016-41, PMASA-2016-42, PMASA-2016-43, PMASA-2016-44, PMASA-2016-45, PMASA-2016-46, PMASA-2016-47, PMASA-2016-48, PMASA-2016-49, PMASA-2016-50, PMASA-2016-51, PMASA-2016-52, PMASA-2016-53, PMASA-2016-54, PMASA-2016-55, PMASA-2016-56, TYPO3-EXT-SA-2016-025, VIGILANCE-VUL-20412.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans phpMyAdmin.

Un attaquant peut contourner les mesures de sécurité via Cookie Encryption, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6606, PMASA-2016-29]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-6607, PMASA-2016-30]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-6608, PMASA-2016-31]

Un attaquant peut utiliser une vulnérabilité via Array Export, afin d'exécuter du code. [grav:2/4; CVE-2016-6609, PMASA-2016-32]

Un attaquant peut contourner les mesures de sécurité via Full Path, afin d'obtenir des informations sensibles. [grav:1/4; CVE-2016-6610, PMASA-2016-33]

Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données. [grav:2/4; CVE-2016-6611, PMASA-2016-34]

Un attaquant peut contourner les restrictions d'accès aux fichiers via LOAD LOCAL INFILE, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6612, PMASA-2016-35]

Un attaquant peut contourner les restrictions d'accès aux fichiers via UploadDir, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6613, PMASA-2016-36]

Un attaquant peut traverser les répertoires via SaveDir/UploadDir, afin de lire/créer un fichier situé hors de la racine. [grav:2/4; CVE-2016-6614, PMASA-2016-37]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-6615, PMASA-2016-38]

Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données. [grav:2/4; CVE-2016-6616, PMASA-2016-39]

Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données. [grav:2/4; CVE-2016-6617, PMASA-2016-40]

Un attaquant peut provoquer une erreur fatale via Transformation, afin de mener un déni de service. [grav:2/4; CVE-2016-6618, PMASA-2016-41]

Un attaquant peut provoquer une injection SQL via Control User, afin de lire ou modifier des données. [grav:2/4; CVE-2016-6619, PMASA-2016-42]

Un attaquant peut utiliser une vulnérabilité via Unserialize, afin d'exécuter du code. [grav:2/4; CVE-2016-6620, PMASA-2016-43]

Une vulnérabilité de type SSRF a été annoncée via Setup Script. [grav:2/4; CVE-2016-6621, PMASA-2016-44]

Un attaquant peut provoquer une erreur fatale via Persistent Connections, afin de mener un déni de service. [grav:2/4; CVE-2016-6622, PMASA-2016-45]

Un attaquant peut provoquer une boucle infinie, afin de mener un déni de service. [grav:2/4; CVE-2016-6623, PMASA-2016-46]

Un attaquant peut contourner les mesures de sécurité via Proxy Server, afin d'élever ses privilèges. [grav:2/4; CVE-2016-6624, PMASA-2016-47]

Un attaquant peut contourner les mesures de sécurité, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6625, PMASA-2016-48]

Un attaquant peut tromper l'utilisateur, afin de le rediriger vers un site malveillant. [grav:1/4; CVE-2016-6626, PMASA-2016-49]

Un attaquant peut contourner les mesures de sécurité via url.php, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6627, PMASA-2016-50]

Un attaquant peut contourner les restrictions d'accès aux fichiers via SVG, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6628, PMASA-2016-51]

Un attaquant peut contourner les mesures de sécurité via ArbitraryServerRegexp, afin d'élever ses privilèges. [grav:2/4; CVE-2016-6629, PMASA-2016-52]

Un attaquant peut provoquer une erreur fatale via Long Password, afin de mener un déni de service. [grav:2/4; CVE-2016-6630, PMASA-2016-53]

Un attaquant peut utiliser une vulnérabilité via CGI, afin d'exécuter du code. [grav:3/4; CVE-2016-6631, PMASA-2016-54]

Un attaquant peut provoquer une erreur fatale via Dbase Extension, afin de mener un déni de service. [grav:3/4; CVE-2016-6632, PMASA-2016-55]

Un attaquant peut utiliser une vulnérabilité via Dbase Extension, afin d'exécuter du code. [grav:3/4; CVE-2016-6633, PMASA-2016-56]
Bulletin Vigil@nce complet.... (Essai gratuit)

Service de veille sur les vulnérabilités informatiques

Vigil@nce fournit une annonce de vulnérabilités de réseaux. Le service de veille sur les vulnérabilités informatiques Vigil@nce alerte vos équipes des failles et des menaces qui concernent votre système d'information. L'équipe Vigil@nce surveille les vulnérabilités informatiques de systèmes et d'applications. La veille sécurité Vigil@nce publie des bulletins de vulnérabilités pour les failles qui impactent le système d'information.