phpMyAdmin 4.0.x < 4.0.10.1/4.1.x < 4.1.14.2/4.2.x < 4.2.6 複数の脆弱性（PMASA-2014-4 - PMASA-2014-7）

medium Nessus プラグイン ID 76915

Language:

概要

リモート Web サーバーは、複数の脆弱性の影響を受ける PHP アプリケーションをホストしています。

説明

自己報告されたバージョン番号によると、リモートの Web サーバーでホストされている phpMyAdmin インストールは、4.0.10.1 より前の 4.0.x、4.1.14.2 より前の 4.1.x、または 4.2.6 より前の 4.2.x です。したがって、次の脆弱性の影響を受けます：

- 「TABLE_COMMENT」パラメーター入力は、スクリプト「libraries/structure.lib.php」で検証されておらず、クロスサイトスクリプティング攻撃を可能にする可能性があります。注意：この問題の影響を受けるのは、4.2.x ブランチです。（CVE-2014-4954）

- 「trigger」パラメーター入力は、スクリプト「libraries/rte/rte_list.lib.php」で検証されておらず、クロスサイトスクリプティング攻撃を可能にする可能性があります。（CVE-2014-4955）

- 「table」および「curr_column_name」パラメーター入力は、それぞれスクリプト「js/functions.js」および「js/tbl_structure.js」で検証されておらず、クロスサイトスクリプティング攻撃を可能にする可能性があります。（CVE-2014-4986）

- スクリプト「server_user_groups.php」には、リモートの攻撃者が MySQL ユーザーリストを取得し、アプリケーションの表示を改ざんする可能性があるエラーが含まれています。注意：この問題の影響を受けるのは、4.1.x および 4.2.x ブランチのみです。（CVE-2014-4987）

Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。