検出

FreeBSD:phpMyAdmin -- Table オペレーション、Database 構造、Trigger および Visualize GIS データページの複数の XSS(db1d3340-e83b-11e1-999b-e0cb4e266481)

low Nessus プラグイン ID 61566

Language:

概要

リモート FreeBSD ホストには、セキュリティ関連の更新がありません。

説明

phpMyAdmin 開発チームによる報告:

細工されたテーブル名を使用することで、XSS を発生させることが可能でした:1) Database Structure ページで、細工された名前の新しいテーブルを作成 2) Database Structure ページで、細工されたテーブル名の Empty および Drop リンクを使用 3) 細工されたテーブルの Table Operations ページで、「Empty the table (TRUNCATE)」および「Delete the table (DROP)」リンクを使用 4) 細工された名前のテーブルを含むデータベースの Triggers ページで、「Add Trigger」ポップアップを開いたとき 5) 無効な定義で、細工された名前のテーブルに対するトリガーを作成するとき。細工されたデータをデータベーステーブルに入れることで、XSS を発生させることが可能でした:6) 細工されたラベル名を持つ GIS データを視覚化するとき。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://www.phpmyadmin.net/security/PMASA-2012-4/

http://www.nessus.org/u?7380c480

プラグインの詳細

深刻度: Low

ID: 61566

ファイル名: freebsd_pkg_db1d3340e83b11e1999be0cb4e266481.nasl

バージョン: 1.8

タイプ: local

公開日: 2012/8/17

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Low

基本値: 3.5

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:phpmyadmin, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2012/8/17

脆弱性公開日: 2012/8/12

参照情報

CVE: CVE-2012-4345