phpMyAdmin 4.0.x < 4.0.10.6/4.1.x < 4.1.14.7/4.2.x < 4.2.12 複数の脆弱性（PMASA-2014-13 - PMASA-2014-16）

medium Nessus プラグイン ID 79599

Language:

概要

リモート Web サーバーは、複数の脆弱性の影響を受ける PHP アプリケーションをホストしています。

説明

自己報告されたバージョン番号によると、リモートの Web サーバーでホストされている phpMyAdmin アプリケーションは、4.0.10.6 より前の 4.0.x、4.1.14.7 より前の 4.1.x、または 4.2.12 より前の 4.2.x です。したがって、次の脆弱性の影響を受けます：

- ユーザーに戻す前の ENUM 値の処理の際の入力検証が不適切なための、ゾーン検索ページのクロスサイトスクリプティングの脆弱性。リモートの攻撃者が特別に細工されたリクエストを使用し、ブラウザ/サーバーの信頼関係がある範囲において、任意のスクリプトコードを実行する可能性があります。（CVE-2014-8958）

- ユーザーに戻す前のフォントサイズの処理の際の入力検証が不適切なための、ホームページのクロスサイトスクリプティングの脆弱性。リモートの攻撃者が特別に細工されたリクエストを使用し、ブラウザ/サーバーの信頼関係がある範囲において、任意のスクリプトコードを実行する可能性があります。（CVE-2014-8958）

- ユーザーに戻す前の ENUM 値の処理の際の入力検証が不適切なための、印刷表示ページのクロスサイトスクリプティングの脆弱性。リモートの攻撃者が特別に細工されたリクエストを使用し、ブラウザ/サーバーの信頼関係がある範囲において、任意のスクリプトコードを実行する可能性があります。（CVE-2014-8958）

- ユーザーに戻す前のデータベース、テーブルおよびカラムの名前の処理の際、入力検証が不適切なための、テーブルブラウズページのクロスサイトスクリプティングの脆弱性。リモートの攻撃者が特別に細工されたリクエストを使用し、ブラウザ/サーバーの信頼関係がある範囲において、任意のスクリプトコードを実行する可能性があります。
（CVE-2014-8958）

- 形状タイプを指定するために使用するパラメーターの検証が不適切なための、GIS エディター機能のローカルファイルインクルードの脆弱性。このため、認証されたリモートの攻撃者がホストからの任意のファイルを含めて、ファイルコンテンツの漏洩またはホストでのスクリプトの実行を行う可能性があります。（CVE-2014-8959）

- ユーザーに戻す前のファイル名の検証が不適切なための、エラー報告ページのクロスサイトスクリプティングの脆弱性。これにより、リモートの攻撃者は特別に細工されたリクエストを使用し、ブラウザ/サーバーの信頼関係内で任意のスクリプトコードを実行する可能性があります。（CVE-2014-8960）

- ユーザー指定入力の検証が不適切なための、エラー報告機能の情報漏洩の脆弱性。これにより、認証されたリモートの攻撃者がファイル行数を判断できる可能性があります。
（CVE-2014-8961）

Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。