phpMyAdmin 4.0.x < 4.0.10.2/4.1.x < 4.1.14.3/4.2.x < 4.2.7.1の複数のXSSの脆弱性(PMASA-2014-8 - PMASA-2014-9)
low Nessus プラグイン ID 77305
Language:
概要
リモートのWebサーバーは、複数の脆弱性の影響を受けるPHPアプリケーションをホストしています。説明
自己報告されたバージョン番号によると、リモートの Web サーバーでホストされている phpMyAdmin アプリケーションは、4.0.10.2 より前の 4.0.x、4.1.14.3 より前の 4.1.x、または 4.2.7.1 より前の 4.2.x です。したがって、次の脆弱性の影響を受けます:- ブラウズテーブル、ENUMエディター、モニター、クエリチャート、およびテーブルリレーションページに、複数のクロスサイトスクリプティングの脆弱性が存在します。(CVE-2014-5273)
- 表示オペレーションページに、クロスサイトスクリプティング攻撃を可能にする欠陥が存在します。注意:これは、4.0.xリリースには影響を及ぼしません。(CVE-2014-5274)
Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
phpMyAdmin 4.0.10.2 / 4.1.14.3 / 4.2.7.1 以降へアップグレードするか、参照されているリンクからパッチを適用してください。参考資料
http://www.phpmyadmin.net/home_page/security/PMASA-2014-8.php
http://www.phpmyadmin.net/home_page/security/PMASA-2014-9.php
http://www.nessus.org/u?fea869a4
http://www.nessus.org/u?1e1c0339
http://www.nessus.org/u?b49d1fce
http://www.nessus.org/u?274b0651
プラグインの詳細
深刻度: Low
ID: 77305
ファイル名: phpmyadmin_pmasa_2014_9.nasl
バージョン: 1.7
タイプ: remote
ファミリー: CGI abuses : XSS
公開日: 2014/8/21
更新日: 2024/6/4
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: Low
基本値: 3.5
現状値: 3
ベクトル: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N
脆弱性情報
CPE: cpe:/a:phpmyadmin:phpmyadmin
必要な KB アイテム: www/PHP, Settings/ParanoidReport, www/phpMyAdmin
除外される KB アイテム: Settings/disable_cgi_scanning
エクスプロイトの容易さ: No exploit is required
パッチ公開日: 2014/8/17
脆弱性公開日: 2014/8/17
参照情報
CVE: CVE-2014-5273, CVE-2014-5274