Uma fraqueza e uma vulnerabilidade foram reportadas no phpMyAdmin, que podem ser exploradas por usuários maliciosos para conduzir ataques de inserção de scripts e ataques de spoofing, de acordo com a Secunia.
1. Entrada passada pelo parâmetro “url” para o url.php não é adequadamente verificada antes de ser usada para redirecionar usuários. Isso pode ser explorado para redirecionar um usuário para um site arbitrário, por exemplo, quando um usuário clica num link especialmente forjado para o script afetado, hospedado em um domínio confiável. Essa vulnerabilidade é reportada na versão 3.4.0.
2. Entrada passada para a aplicação ao criar um nome da tabela de dados não é adequadamente limpa antes de ser usada na página de “Tracking“. Isso pode ser explorado para inserir código HTML ou script arbitrário, o que será executado em uma sessão do navegador do usuário em um site afetado, quando os dados maliciosos estiverem sendo visualizados. Essa vulnerabilidade é reportada na versão 3.4.0 e versões anteriores à 3.3.10.1.
A solução é atualizar para a versão 3.4.1.
Via: phpMyAdmin redirection weakness and script insertion vulnerability