FreeBSD:phpMyAdmin -- トリガー、プロシージャ、イベントページにおけるエスケープされていない HTML 出力による、複数の XSS。非 SSL サイトからのバージョン情報の取得は、MITM 攻撃に対して脆弱です(ef417da3-1640-11e2-999b-e0cb4e266481)
medium Nessus プラグイン ID 62539
Language:
概要
リモート FreeBSD ホストには、セキュリティ関連の更新がありません。説明
phpMyAdmin 開発チームによる報告:細工された名前で、トリガー、イベント、プロシージャの作成/変更を行うと、XSS を発生させることが可能です。
現在の phpMyAdmin バージョンについての情報をメインページで表示するために、JavaScript の一部が非 SSL モードの phpmyadmin.net Web サイトから取得されます。中間者が、送信中のこのスクリプトを変更し、危害を与える可能性があります。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://www.phpmyadmin.net/security/PMASA-2012-6/
プラグインの詳細
深刻度: Medium
ID: 62539
ファイル名: freebsd_pkg_ef417da3164011e2999be0cb4e266481.nasl
バージョン: 1.8
タイプ: local
公開日: 2012/10/15
更新日: 2021/1/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.0
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:phpmyadmin, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2012/10/14
脆弱性公開日: 2012/10/8
参照情報
CVE: CVE-2012-5339, CVE-2012-5368