Cross-Site Scripting in phpMyAdmin  
05/15/2006
 
Sono state riscontrate due vulnerabilità in phpMyAdmin che potrebbero essere sfruttate da un utente malevolo per eseguire attacchi cross-site scripting.

La prima vulnerabilità è dovuta al fatto che l'input passato al parametro 'theme' non viene validato correttamente prima di essere restituito all'utente. Manipolando opportunamente il suddetto parametro è possibile inserire codice HTML e script arbitrari che verrebbero eseguiti dal browser della vittima nel contesto del sito vulnerabile.

La seconda vulnerabilità è dovuta al fatto che l'input passato al parametro 'db' non viene validato correttamente prima di essere restituito all'utente. Manipolando opportunamente il suddetto parametro è possibile inserire codice HTML e script arbitrari che verrebbero eseguiti dal browser della vittima nel contesto del sito vulnerabile.

Le vulnerabilità sono state riscontrate nelle versioni precedenti alla 2.8.0.4.

Soluzione:
Aggiornare alla versione 2.8.0.4.
http://www.phpmyadmin.net/home_page/downloads.php

Riferimenti:
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2006-2
http://secunia.com/advisories/20113/

Home Page