L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de phpMyAdmin

alerte de vulnérabilité CVE-2018-19968 CVE-2018-19969 CVE-2018-19970

phpMyAdmin : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de phpMyAdmin.
Produits concernés : Debian, Fedora, openSUSE Leap, phpMyAdmin, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : accès/droits client, création/modification de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 11/12/2018.
Références : CVE-2018-19968, CVE-2018-19969, CVE-2018-19970, DLA-1658-1, FEDORA-2018-088802878a, FEDORA-2018-5aeca60933, openSUSE-SU-2018:4124-1, openSUSE-SU-2018:4125-1, PMASA-2018-6, PMASA-2018-7, PMASA-2018-8, VIGILANCE-VUL-28001.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de phpMyAdmin.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-15605

phpMyAdmin : Cross Site Scripting via File Import Warning Messages

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via File Import Warning Messages de phpMyAdmin, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Fedora, openSUSE Leap, phpMyAdmin, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 22/08/2018.
Références : CERTFR-2018-AVI-404, CVE-2018-15605, FEDORA-2018-f2b24ce26e, openSUSE-SU-2018:2523-1, openSUSE-SU-2018:2525-1, openSUSE-SU-2018:2525-2, PMASA-2018-5, VIGILANCE-VUL-27059.

Description de la vulnérabilité

Le produit phpMyAdmin dispose d'un service web.

Cependant, les données reçues via warning messages ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via File Import Warning Messages de phpMyAdmin, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité informatique CVE-2018-12581

phpMyAdmin : Cross Site Scripting via Designer Feature

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Designer Feature de phpMyAdmin, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Fedora, openSUSE Leap, phpMyAdmin, SUSE Linux Enterprise Desktop, SLES, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 22/06/2018.
Références : CERTFR-2018-AVI-300, CVE-2018-12581, FEDORA-2018-68349e3094, openSUSE-SU-2018:1806-1, openSUSE-SU-2018:1809-1, PMASA-2018-3, VIGILANCE-VUL-26499.

Description de la vulnérabilité

Le produit phpMyAdmin dispose d'un service web.

Cependant, les données reçues via Designer Feature ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Designer Feature de phpMyAdmin, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2018-10188

phpMyAdmin : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de phpMyAdmin, afin de forcer la victime à effectuer des opérations.
Produits concernés : openSUSE Leap, phpMyAdmin, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 19/04/2018.
Références : CVE-2018-10188, openSUSE-SU-2018:1058-1, openSUSE-SU-2018:1059-1, PMASA-2018-2, VIGILANCE-VUL-25934.

Description de la vulnérabilité

Le produit phpMyAdmin dispose d'un service web.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de phpMyAdmin, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-7260

phpMyAdmin : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de phpMyAdmin, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Fedora, openSUSE Leap, phpMyAdmin, WindRiver Linux.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 21/02/2018.
Références : CERTFR-2018-AVI-093, CVE-2018-7260, FEDORA-2018-147d33439c, FEDORA-2018-a1650ed14f, openSUSE-SU-2018:0536-1, PMASA-2018-1, VIGILANCE-VUL-25340.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de phpMyAdmin, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-1000499

phpMyAdmin : Cross Site Request Forgery

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Request Forgery de phpMyAdmin, afin de forcer la victime à effectuer des opérations.
Produits concernés : Fedora, openSUSE Leap, phpMyAdmin, SUSE Linux Enterprise Desktop, SLES.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : client internet.
Date création : 28/12/2017.
Références : CERTFR-2018-AVI-001, CVE-2017-1000499, FEDORA-2017-481515e199, FEDORA-2017-cad79c7c6c, openSUSE-SU-2017:3448-1, openSUSE-SU-2017:3451-1, PMASA-2017-9, VIGILANCE-VUL-24897.

Description de la vulnérabilité

Le produit phpMyAdmin dispose d'un service web.

Cependant, l'origine des requêtes n'est pas validée. Elles peuvent par exemple provenir d'une image affichée dans un document HTML.

Un attaquant peut donc provoquer un Cross Site Request Forgery de phpMyAdmin, afin de forcer la victime à effectuer des opérations.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-18264

phpMyAdmin : élévation de privilèges via AllowNoPassword

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via AllowNoPassword de phpMyAdmin, afin d'élever ses privilèges.
Produits concernés : Debian, openSUSE Leap, phpMyAdmin.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : compte utilisateur.
Date création : 29/03/2017.
Références : CVE-2017-18264, DLA-1415-1, openSUSE-SU-2017:1005-1, PMASA-2017-8, VIGILANCE-VUL-22287.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via AllowNoPassword de phpMyAdmin, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2015-8980 CVE-2017-1000013 CVE-2017-1000014

phpMyAdmin : sept vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de phpMyAdmin.
Produits concernés : Fedora, openSUSE Leap, phpMyAdmin.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 7.
Date création : 24/01/2017.
Références : CVE-2015-8980, CVE-2017-1000013, CVE-2017-1000014, CVE-2017-1000015, CVE-2017-1000016, CVE-2017-1000017, CVE-2017-1000018, FEDORA-2017-294c23bb1d, FEDORA-2017-360e912fdb, openSUSE-SU-2017:0372-1, PMASA-2017-1, PMASA-2017-2, PMASA-2017-3, PMASA-2017-4, PMASA-2017-5, PMASA-2017-6, PMASA-2017-7, VIGILANCE-VUL-21658.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans phpMyAdmin.

Un attaquant peut tromper l'utilisateur via Request Path, afin de le rediriger vers un site malveillant. [grav:1/4; CVE-2017-1000013, PMASA-2017-1]

Un attaquant peut utiliser une vulnérabilité via php-gettext, afin d'exécuter du code. [grav:2/4; CVE-2015-8980, PMASA-2017-2]

Un attaquant peut provoquer une erreur fatale via Table Editing, afin de mener un déni de service. [grav:2/4; CVE-2017-1000014, PMASA-2017-3]

Un attaquant peut altérer l'affichage via CSS Injection, afin de tromper la victime. [grav:2/4; CVE-2017-1000015, PMASA-2017-4]

Un attaquant peut modifier les Cookies. [grav:2/4; CVE-2017-1000016, PMASA-2017-5]

Un attaquant peut contourner les mesures de sécurité via Connect, afin d'élever ses privilèges. [grav:1/4; CVE-2017-1000017, PMASA-2017-6]

Un attaquant peut provoquer une erreur fatale via Replication Status, afin de mener un déni de service. [grav:2/4; CVE-2017-1000018, PMASA-2017-7]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2016-4412 CVE-2016-9847 CVE-2016-9848

phpMyAdmin : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de phpMyAdmin.
Produits concernés : Debian, Fedora, openSUSE, openSUSE Leap, phpMyAdmin, Synology DSM, Synology DS***, Synology RS***.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 15.
Date création : 25/11/2016.
Références : CERTFR-2016-AVI-390, CVE-2016-4412, CVE-2016-9847, CVE-2016-9848, CVE-2016-9849, CVE-2016-9850, CVE-2016-9851, CVE-2016-9852, CVE-2016-9853, CVE-2016-9854, CVE-2016-9855, CVE-2016-9856, CVE-2016-9857, CVE-2016-9858, CVE-2016-9859, CVE-2016-9860, CVE-2016-9861, CVE-2016-9862, CVE-2016-9863, CVE-2016-9864, CVE-2016-9865, CVE-2016-9866, DLA-1415-1, DLA-757-1, DLA-834-1, FEDORA-2016-2424eeca35, FEDORA-2016-6576a8536b, FEDORA-2016-7fc142da66, openSUSE-SU-2016:3007-1, PMASA-2016-57, PMASA-2016-58, PMASA-2016-59, PMASA-2016-60, PMASA-2016-61, PMASA-2016-62, PMASA-2016-63, PMASA-2016-64, PMASA-2016-65, PMASA-2016-66, PMASA-2016-67, PMASA-2016-68, PMASA-2016-69, PMASA-2016-70, PMASA-2016-71, VIGILANCE-VUL-21206.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans phpMyAdmin.

Un attaquant peut tromper l'utilisateur, afin de le rediriger vers un site malveillant. [grav:1/4; CVE-2016-4412, PMASA-2016-57]

Un attaquant peut contourner les mesures de sécurité via blowfish_secret, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-9847, PMASA-2016-58]

Un attaquant peut contourner les mesures de sécurité via HttpOnly Cookies, afin d'obtenir des informations sensibles. [grav:1/4; CVE-2016-9848, PMASA-2016-59]

Un attaquant peut contourner les mesures de sécurité via Null Byte, afin d'élever ses privilèges. [grav:2/4; CVE-2016-9849, PMASA-2016-60]

Un attaquant peut contourner les mesures de sécurité via Allow/deny Rules, afin d'élever ses privilèges. [grav:2/4; CVE-2016-9850, PMASA-2016-61]

Un attaquant peut contourner les mesures de sécurité via Logout Timeout, afin d'élever ses privilèges. [grav:1/4; CVE-2016-9851, PMASA-2016-62]

Un attaquant peut contourner les mesures de sécurité via Full Path Disclosure, afin d'obtenir des informations sensibles. [grav:1/4; CVE-2016-9852, CVE-2016-9853, CVE-2016-9854, CVE-2016-9855, PMASA-2016-63]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-9856, CVE-2016-9857, PMASA-2016-64]

Un attaquant peut provoquer une erreur fatale, afin de mener un déni de service. [grav:2/4; CVE-2016-9858, CVE-2016-9859, CVE-2016-9860, PMASA-2016-65]

Un attaquant peut tromper l'utilisateur, afin de le rediriger vers un site malveillant. [grav:1/4; CVE-2016-9861, PMASA-2016-66]

Un attaquant peut utiliser une vulnérabilité via BBCode, afin d'exécuter du code. [grav:2/4; CVE-2016-9862, PMASA-2016-67]

Un attaquant peut provoquer une erreur fatale via Table Partitioning, afin de mener un déni de service. [grav:2/4; CVE-2016-9863, PMASA-2016-68]

Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données. [grav:2/4; CVE-2016-9864, PMASA-2016-69]

Un attaquant peut utiliser une vulnérabilité via PMA_safeUnserialize, afin d'exécuter du code. [grav:2/4; CVE-2016-9865, PMASA-2016-70]

Un attaquant peut provoquer un Cross Site Request Forgery, afin de forcer la victime à effectuer des opérations. [grav:2/4; CVE-2016-9866, PMASA-2016-71]
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2016-6606 CVE-2016-6607 CVE-2016-6608

phpMyAdmin : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de phpMyAdmin.
Produits concernés : Debian, Fedora, openSUSE, openSUSE Leap, phpMyAdmin, TYPO3 Extensions ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, déni de service du service.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 28.
Date création : 17/08/2016.
Références : CVE-2016-6606, CVE-2016-6607, CVE-2016-6608, CVE-2016-6609, CVE-2016-6610, CVE-2016-6611, CVE-2016-6612, CVE-2016-6613, CVE-2016-6614, CVE-2016-6615, CVE-2016-6616, CVE-2016-6617, CVE-2016-6618, CVE-2016-6619, CVE-2016-6620, CVE-2016-6621, CVE-2016-6622, CVE-2016-6623, CVE-2016-6624, CVE-2016-6625, CVE-2016-6626, CVE-2016-6627, CVE-2016-6628, CVE-2016-6629, CVE-2016-6630, CVE-2016-6631, CVE-2016-6632, CVE-2016-6633, DLA-1415-1, DLA-626-1, DLA-757-1, DLA-834-1, FEDORA-2016-06e4de8210, FEDORA-2016-2eef68e635, openSUSE-SU-2016:2168-1, openSUSE-SU-2016:2176-1, PMASA-2016-29, PMASA-2016-30, PMASA-2016-31, PMASA-2016-32, PMASA-2016-33, PMASA-2016-34, PMASA-2016-35, PMASA-2016-36, PMASA-2016-37, PMASA-2016-38, PMASA-2016-39, PMASA-2016-40, PMASA-2016-41, PMASA-2016-42, PMASA-2016-43, PMASA-2016-44, PMASA-2016-45, PMASA-2016-46, PMASA-2016-47, PMASA-2016-48, PMASA-2016-49, PMASA-2016-50, PMASA-2016-51, PMASA-2016-52, PMASA-2016-53, PMASA-2016-54, PMASA-2016-55, PMASA-2016-56, TYPO3-EXT-SA-2016-025, VIGILANCE-VUL-20412.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans phpMyAdmin.

Un attaquant peut contourner les mesures de sécurité via Cookie Encryption, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6606, PMASA-2016-29]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-6607, PMASA-2016-30]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-6608, PMASA-2016-31]

Un attaquant peut utiliser une vulnérabilité via Array Export, afin d'exécuter du code. [grav:2/4; CVE-2016-6609, PMASA-2016-32]

Un attaquant peut contourner les mesures de sécurité via Full Path, afin d'obtenir des informations sensibles. [grav:1/4; CVE-2016-6610, PMASA-2016-33]

Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données. [grav:2/4; CVE-2016-6611, PMASA-2016-34]

Un attaquant peut contourner les restrictions d'accès aux fichiers via LOAD LOCAL INFILE, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6612, PMASA-2016-35]

Un attaquant peut contourner les restrictions d'accès aux fichiers via UploadDir, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6613, PMASA-2016-36]

Un attaquant peut traverser les répertoires via SaveDir/UploadDir, afin de lire/créer un fichier situé hors de la racine. [grav:2/4; CVE-2016-6614, PMASA-2016-37]

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-6615, PMASA-2016-38]

Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données. [grav:2/4; CVE-2016-6616, PMASA-2016-39]

Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données. [grav:2/4; CVE-2016-6617, PMASA-2016-40]

Un attaquant peut provoquer une erreur fatale via Transformation, afin de mener un déni de service. [grav:2/4; CVE-2016-6618, PMASA-2016-41]

Un attaquant peut provoquer une injection SQL via Control User, afin de lire ou modifier des données. [grav:2/4; CVE-2016-6619, PMASA-2016-42]

Un attaquant peut utiliser une vulnérabilité via Unserialize, afin d'exécuter du code. [grav:2/4; CVE-2016-6620, PMASA-2016-43]

Une vulnérabilité de type SSRF a été annoncée via Setup Script. [grav:2/4; CVE-2016-6621, PMASA-2016-44]

Un attaquant peut provoquer une erreur fatale via Persistent Connections, afin de mener un déni de service. [grav:2/4; CVE-2016-6622, PMASA-2016-45]

Un attaquant peut provoquer une boucle infinie, afin de mener un déni de service. [grav:2/4; CVE-2016-6623, PMASA-2016-46]

Un attaquant peut contourner les mesures de sécurité via Proxy Server, afin d'élever ses privilèges. [grav:2/4; CVE-2016-6624, PMASA-2016-47]

Un attaquant peut contourner les mesures de sécurité, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6625, PMASA-2016-48]

Un attaquant peut tromper l'utilisateur, afin de le rediriger vers un site malveillant. [grav:1/4; CVE-2016-6626, PMASA-2016-49]

Un attaquant peut contourner les mesures de sécurité via url.php, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6627, PMASA-2016-50]

Un attaquant peut contourner les restrictions d'accès aux fichiers via SVG, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2016-6628, PMASA-2016-51]

Un attaquant peut contourner les mesures de sécurité via ArbitraryServerRegexp, afin d'élever ses privilèges. [grav:2/4; CVE-2016-6629, PMASA-2016-52]

Un attaquant peut provoquer une erreur fatale via Long Password, afin de mener un déni de service. [grav:2/4; CVE-2016-6630, PMASA-2016-53]

Un attaquant peut utiliser une vulnérabilité via CGI, afin d'exécuter du code. [grav:3/4; CVE-2016-6631, PMASA-2016-54]

Un attaquant peut provoquer une erreur fatale via Dbase Extension, afin de mener un déni de service. [grav:3/4; CVE-2016-6632, PMASA-2016-55]

Un attaquant peut utiliser une vulnérabilité via Dbase Extension, afin d'exécuter du code. [grav:3/4; CVE-2016-6633, PMASA-2016-56]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur phpMyAdmin :