漏洞信息详情

phpMyAdmin登录页面跨站脚本漏洞

• CNNVD编号：CNNVD-200711-335
• 危害等级： 中危
  
• CVE编号： CVE-2007-6100
• 漏洞类型： 跨站脚本
• 发布时间： 2007-11-23
• 威胁类型： 远程
• 更新时间： 2007-11-26
• 厂        商： phpmyadmin
• 漏洞来源： Tim Brown security...

漏洞简介

phpMyAdmin是用PHP编写的工具，用于通过WEB管理MySQL。

phpMyAdmin处理用户请求时存在输入验证漏洞，远程攻击者可能利用此漏洞在用户浏览器中执行恶意代码。

phpMyAdmin登录页面的index.php文件中没有验证对convcharset参数的输入，如果用户提交了恶意的URL请求的话就可能导致执行跨站脚本。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://downloads.sourceforge.net/phpmyadmin/phpMyAdmin-2.11.2.2-all-languages.tar.gz

参考网址

来源: BID

名称: 26513

链接:http://www.securityfocus.com/bid/26513

来源: www.phpmyadmin.net

链接:http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2007-8

来源: VUPEN

名称: ADV-2007-3943

链接:http://www.frsirt.com/english/advisories/2007/3943

来源: SECUNIA

名称: 27748

链接:http://secunia.com/advisories/27748

来源: MISC

名称: http://www.nth-dimension.org.uk/pub/NDSA20071119.txt.asc

链接:http://www.nth-dimension.org.uk/pub/NDSA20071119.txt.asc

来源: XF

名称: phpmyadmin-loginpage-xss(38601)

链接:http://xforce.iss.net/xforce/xfdb/38601

来源: SECUNIA

名称: 29323

链接:http://secunia.com/advisories/29323

来源: SUSE

名称: SUSE-SR:2008:006

链接:http://lists.opensuse.org/opensuse-security-announce/2008-03/msg00004.HTML

受影响实体

• Phpmyadmin Phpmyadmin:2.0.1  
• Phpmyadmin Phpmyadmin:2.0.2  
• Phpmyadmin Phpmyadmin:2.0.0  
• Phpmyadmin Phpmyadmin:2.1.2  
• Phpmyadmin Phpmyadmin:2.1.1  

补丁

暂无