Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Vi har två jobbannonser ute just nu: Sök till Systemadministratör eller Övningsansvarig senast 18 augusti.

Uppdaterad | Publicerad - Sårbarhet, databas, MySQL

SR08-074 phpMyAdmin - Sårbart för "SQL injection"

phpMyAdmin är ett webbaserat administrationsverktyg för MySQL som är implementerat i PHP. En "SQL injection"-sårbarhet har upptäckts i denna applikation, vilket gör det möjlig för en angripare att exekvera godtycklig SQL-kod.

Problembeskrivning

CVE-referens:-

Applikationen läser parametrar från $_REQUEST-variabeln med bristfällig indatakontroll och använder dessa i SQL-satser. En attack kräver att phpMyAdmin-användaren luras att besöka en riggad webbplats som sätter en specialkonstruerad "cookie". Angripare kan då exekvera godtycklig SQL-kod, vilket innebär att data både kan läsas och skrivas till databasen. Version 2.11.5 innehåller en rättning av problemet.

Richard Cunningham upptäckte denna sårbarhet.

Påverkade versioner

  • Tidigare versioner än 2.11.5

Mer information och programrättningar

http://www.securityfocus.com/bid/28068
http://secunia.com/advisories/29200/
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2008-1