phpMyAdmin < 3.3.10.1 / 3.4.1 複数の脆弱性(PMASA-2011-03 - PMASA-2011-04)
medium Nessus プラグイン ID 55023
Language:
概要
リモートのWebサーバーは、複数の脆弱性の影響を受けるPHPアプリケーションが含まれています。説明
リモートホストには、複数の脆弱性に影響を受ける 3.3.10.1 より前の 3.3.x または 3.4.1 より前の 3.4.x バージョンの phpMyAdmin が含まれています:- 「tbl_links.php」および「tbl-tracking」スクリプトは、「table」および「db」パラメーターへの入力をフィルターできません。攻撃者はこの問題を悪用して、影響を受けるアプリケーションのセキュリティコンテキスト内で実行されるように、ユーザーのブラウザに任意のHTMLやスクリプトコードを注入し、その結果、セッションcookieを窃取したり、ユーザーアカウントを危険に晒す可能性があります。
(問題 #2011-03)
- 3.4.x < 3.4.1 バージョンでは、スクリプト「url.php」は、指定されたロケーションへのリダイレクトする前に「url」パラメーターへの入力を検証できません。(問題 #2011-04)
ソリューション
phpMyAdmin 3.3.10.1/3.4.1 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 55023
ファイル名: phpmyadmin_pmasa_2011_3.nasl
バージョン: 1.11
タイプ: remote
ファミリー: CGI abuses
公開日: 2011/6/9
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.0
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.2
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: cpe:/a:phpmyadmin:phpmyadmin
必要な KB アイテム: www/phpMyAdmin, www/PHP, Settings/ParanoidReport
除外される KB アイテム: Settings/disable_cgi_scanning
エクスプロイトの容易さ: No exploit is required
パッチ公開日: 2011/5/22
脆弱性公開日: 2011/5/22
参照情報
CVE: CVE-2011-1940, CVE-2011-1941