FreeBSD: phpMyAdmin -- 複数の脆弱性(ed10ed3f-fddc-11e8-94cf-6805ca0b3d42)
high Nessus プラグイン ID 119637
Language:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
phpMyAdmin 開発チームによる報告:サマリー 変換機能によるローカルファイルのインクルード 説明 攻撃者がphpMyAdminを悪用してローカルファイルのコンテンツを漏洩できる欠陥が見つかりました。攻撃者はphpMyAdmin Configuration Storageテーブルにアクセスできる必要がありますが、これらは攻撃者がアクセスできる任意のデータベースで簡単に作成できます。phpMyAdminにログインするには、攻撃者は有効な認証情報を持っている必要があります。この脆弱性により、攻撃者はログインシステムを回避できるわけではありません。重要度 この脆弱性を重大なものとして扱います。サマリー phpMyAdminのXSRF/CSRFの脆弱性 説明 細工されたURLをクリックするようにユーザーをだますことで、データベースの名前変更、新しいテーブル/ルーチンの作成、デザイナーページの削除、ユーザーの追加/削除、ユーザーパスワードの更新、SQLプロセスの強制終了などの有害なSQL操作を実行することが可能です。重要度 この脆弱性を重要度中として扱います。サマリー ナビゲーションツリーのXSSの脆弱性 説明 ナビゲーションツリーにクロスサイトスクリプティングの脆弱性が見つかりました。この脆弱性により、攻撃者が特別に細工されたデータベース/テーブル名を通じてペイロードをユーザーに配信する可能性があります。重要度 これを重要度中として扱います。緩和要因 通常のトークン保護はログインしていないユーザーが必要なフォームにアクセスすることを防止するため、この蓄積型XSSの脆弱性はphpMyAdminにログインしたユーザーだけがトリガーできるものです。ソリューション
影響を受けるパッケージを更新してください。参考資料
https://www.phpmyadmin.net/security/PMASA-2018-6/
https://www.phpmyadmin.net/security/PMASA-2018-7/
プラグインの詳細
深刻度: High
ID: 119637
ファイル名: freebsd_pkg_ed10ed3ffddc11e894cf6805ca0b3d42.nasl
バージョン: 1.1
タイプ: local
公開日: 2018/12/13
更新日: 2018/12/13
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:phpmyadmin, p-cpe:/a:freebsd:freebsd:phpmyadmin-php56, p-cpe:/a:freebsd:freebsd:phpmyadmin-php70, p-cpe:/a:freebsd:freebsd:phpmyadmin-php71, p-cpe:/a:freebsd:freebsd:phpmyadmin-php72, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2018/12/12
脆弱性公開日: 2018/12/11