phpMyAdmin 3.5.x < 3.5.8.2 / 4.0.x < 4.0.4.2 の複数の脆弱性（PMASA-2013-8 - PMASA-2013-15）

medium Nessus プラグイン ID 69184

Language:

概要

リモート Web サーバーは、複数のセキュリティ脆弱性の影響を受ける PHP アプリケーションをホストしています。

説明

自己報告されたバージョン番号によると、リモートの Web サーバーでホストされている phpMyAdmin インストールは、3.5.8.2 より前の 3.5.x または 4.0.4.2 より前の 4.0.x です。したがって、次の脆弱性の影響を受けます：

- 多数の入力検証エラーが存在しており、「version.json」、リンク変換のテキスト、スキーマエクスポート、SQL クエリ、セットアップ、チャート表示、プロセスリスト、ロゴリンクに関連したクロスサイトスクリプティング攻撃につながる可能性があります。注意：リンク変換の問題である PMASA-2013-13（CVE-2013-5001）は、4.0.x ブランチにのみ影響を与えます。（CVE-2013-4995、CVE-2013-4996、CVE-2013-4997、 CVE-2013-5001、CVE-2013-5002）

- エラーメッセージによる完全なインストールパス漏洩の可能性のあるエラーが存在しています。この情報は、さらなる攻撃を仕掛けるために使用されることがあります。（CVE-2013-4998、 CVE-2013-4999、CVE-2013-5000）

- 「schema_export.php」および「pmd_pdf.php」ファイルのエラーにより、SQL インジェクション攻撃が行われる可能性があります。
(CVE-2013-5003)