検出

phpMyAdmin 4.0.x < 4.0.10.7/4.1.x < 4.1.14.8/4.2.x < 4.2.13.1 の複数の脆弱性(PMASA-2014-17 - PMASA-2014-18)

medium Nessus プラグイン ID 79797

Language:

概要

リモート Web サーバーは、複数の脆弱性の影響を受ける PHP アプリケーションをホストしています。

説明

自己報告されたバージョン番号によると、リモート Web サーバーでホストされている phpMyAdmin アプリケーションは、4.0.10.7 より前の 4.0.x、4.1.14.8 より前の 4.1.x、または 4.2.13.1 より前の 4.2.x です。したがって、次の脆弱性の影響を受けます:

- 過度に長いパスワードの処理に、欠陥が存在します。リモートの攻撃者が、長いパスワードを使用することで、サービス拒否を引き起こす可能性があります。(CVE-2014-9218)

- リダイレクトを処理する際に URL を適切に検証しないことによる、クロスサイトスクリプティング欠陥が存在します。リモートの攻撃者が、特別に細工されたリクエストを使用することで、ブラウザとサーバーの信頼関係の中で、任意のスクリプトコードを実行する可能性があります。注意:これが適用されるのは、4.2.13.1 より前のバージョン 4.2.x のみです。
 (CVE-2014-9219)

Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。

ソリューション

phpMyAdmin 4.0.10.7 / 4.1.14.8 / 4.2.13.1 以降にアップグレードするか、ベンダーアドバイザリで参照されているパッチを適用してください。

参考資料

http://www.phpmyadmin.net/home_page/security/PMASA-2014-17.php

http://www.nessus.org/u?683380d0

http://www.nessus.org/u?dcfab292

http://www.nessus.org/u?8a847dfb

http://www.phpmyadmin.net/home_page/security/PMASA-2014-18.php

http://www.nessus.org/u?cb7a3b51

プラグインの詳細

深刻度: Medium

ID: 79797

ファイル名: phpmyadmin_pmasa_2014_18.nasl

バージョン: 1.6

タイプ: remote

ファミリー: CGI abuses

公開日: 2014/12/8

更新日: 2022/4/11

設定: パラノイドモードの有効化, 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.4

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2014-9219

脆弱性情報

CPE: cpe:/a:phpmyadmin:phpmyadmin

必要な KB アイテム: www/PHP, Settings/ParanoidReport, installed_sw/phpMyAdmin

エクスプロイトが利用可能: true

エクスプロイトの容易さ: No exploit is required

パッチ公開日: 2014/12/3

脆弱性公開日: 2014/12/3

参照情報

CVE: CVE-2014-9218, CVE-2014-9219

BID: 71434, 71435

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990