VulDB: phpMyAdmin bis 2.8.0.1 set_theme Cross Site Scripting
Allgemein
scipID: 2088
Betroffen: phpMyAdmin bis 2.8.0.1
Veröffentlicht: 17.03.2006 (phpMyAdmin-Team)
Risiko: 
problematisch
Beschreibung
phpMyAdmin ist eine beliebte Web-Oberfläche für die SQL-Administration. Wie das Entwickler-Team berichtet, wird der Parameter set_theme nicht immer richtig überprüft. Dies bedeutet, dass dieser Umstand für Cross Site Scripting-Attacken missbraucht werden kann. Technische Details sowie Exploits sind nicht bekannt. Das phpMyAdmin-Team hat eine aktualisierte Software-Version herausgegeben.
phpMyAdmin läuft meist in einem geschützten Bereich ab und ist nur legitimen Administratoren zugänglich. Das Umsetzen von erfolgreichen Cross Site Scripting-Attacken durch einen externen Angreifer gestalten sich deshalb nicht gerade einfach. Das Interesse an dieser Schwachstelle ist deshalb eher akademischer Natur.
Exploiting
Klasse: Cross Site Scripting
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 21455 (Name: FreeBSD : phpmyadmin — ‘set_theme’ Cross-Site Scripting (1897)
ATK: –
Gegenmassnahmen
Status: Es ist eine aktualisierte Software-Version verfügbar.
Bestätigung: –
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.phpmyadmin.net/home_page/downloads.php
Snort: –
Pattern: –
Quellen
Advisory: http://www.phpmyadmin.net/home_page/downloads.php?relnotes=0
CVE: CVE-2006-1258
OSVDB: 23943
Securityfocus: 17142
Secunia: 19277
X-Force: 25305
Securitytracker: 1015776
VUPEN: ADV-2006-0991
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
