phpMyAdmin Apresenta Problemas de Vulnerabilidade de Inserção de Script

De acordo com relatos da Secunia, uma fraqueza e uma vulnerabilidade foram reportadas no phpMyAdmin, que podem ser exploradas por usuários maliciosos para conduzir ataques de inserção de scripts e ataques de spoofing.

1. Entrada passada pelo parâmetro "url" para o url.php não é verificada de forma adequada antes de ser usada para redirecionar usuários. Isso pode ser explorado para redirecionar um usuário para um site arbitrário, por exemplo, quando a pessoa clica em um link especialmente forjado para o script afetado, hospedado em um domínio confiável. Essa falha, que por sinal é relevante, é divulgada na versão 3.4.0.

2. Entrada passada para a aplicação ao criar um nome da tabela de dados não passa por um processo de limpeza apropriado antes de ser usada na página de "Tracking". Isso pode ser explorado para a inserção de código HTML ou script arbitrário, o que será executado em uma sessão do navegador do usuário em um site afetado, quando os dados maliciosos estiverem sendo visualizados. Tal vulnerabilidade é relatada na versão 3.4.0 e versões anteriores à 3.3.10.1.


Saiba Mais:

[1] phpMyAdmin redirection weakness and script insertion vulnerability: http://www.net-security.org/secworld.php?id=11064