Vulnerabilidades no phpMyAdmin

phpMyAdmin logoVárias vulnerabilidades foram reportadas no phpMyAdmin, de acordo com a empresa de segurança Secunia. Elas podem ser exploradas para conduzir ataques XSS e potencialmente comprometer um sistema vulnerável ou revelar dados sensíveis e privados.

1) Certas entradas passadas para o table name no script de table print view não são adequadamente tratadas antes de serem retornadas ao usuário. Isso pode ser explorado para executar código malicioso de HTML e de script em uma sessão do navegador do usuário, no contexto de um site afetado. Essa vulnerabilidade é reportada na versão 3.4.3.1 e anteriores.

2) Certas entradas passadas para o parâmetro de transformação MIME-type não são adequadamente verificadas antes de serem usadas para incluir arquivos. Isso pode ser explorado para incluir arquivos maliciosos de recursos locais.

3) Certas entradas passadas para um parâmetro não-especificado no código ‘relational schema‘ não são adequadamente tratadas antes de serem usadas para concatenar um nome de classe. Isso também pode ser explorado para incluir arquivos maliciosos de recursos locais. As vulnerabilidades 2 e 3 são reportadas nas versões 3.4.0 a 3.4.3.1.

4) Um erro não-especificado na autenticação Swekey pode ser explorado para sobreescrever variáveis de sessão. Essa vulnerabilidade é reportada na versão 3.4.3.1 e anteriores.

A solução é atualizar para a versão 3.4.3.2.

Via: phpMyAdmin multiple vulnerabilities