phpMyAdmin 3.4.x < 3.4.9 XSS (PMASA-2011-19 - PMASA-2011-20)
medium Nessus Plugin ID 57372
語系:
概要
遠端 Web 伺服器主控的 PHP 應用程式受到兩個跨網站指令碼弱點影響。說明
遠端 Web 伺服器上主控的 phpMyAdmin 版本為 3.4.9 以前的 3.4.x 版,且因此據報受到兩個跨網站指令碼弱點影響:-「libraries/display_export.lib.php」指令碼未正確清理「$_GET」陣列元素「limit_to」、「limit_from」與「filename_template」即將其傳回用戶端。(CVE-2011-4780)
-「libraries/config/ConfigFile.class.php」指令碼未正確清理「$host」參數中的輸入即將其傳回用戶端。請注意,此問題與「/setup」目錄及應用程式的組態相關,且若已執行建議的安裝步驟,則不應遭到惡意利用。
(CVE-2011-4782)
解決方案
升級至 phpMyAdmin 3.4.9 或更新版本。另請參閱
http://www.phpmyadmin.net/home_page/security/PMASA-2011-19.php
http://www.phpmyadmin.net/home_page/security/PMASA-2011-20.php
Plugin 詳細資訊
嚴重性: Medium
ID: 57372
檔案名稱: phpmyadmin_pmasa_2011_20.nasl
版本: 1.13
類型: remote
系列: CGI abuses : XSS
已發布: 2011/12/22
已更新: 2022/4/11
組態: 啟用 Paranoid 模式, 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.8
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.7
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
弱點資訊
CPE: cpe:/a:phpmyadmin:phpmyadmin
必要的 KB 項目: www/PHP, Settings/ParanoidReport, www/phpMyAdmin
排除在外的 KB 項目: Settings/disable_cgi_scanning
可輕鬆利用: No exploit is required
修補程式發佈日期: 2011/12/21
弱點發布日期: 2011/12/21
參考資訊
CVE: CVE-2011-4780, CVE-2011-4782