• Партнер

  • Программа: phpMyAdmin 2.6.0-pl2 и более ранние версии 

    Обнаружена уязвимость в phpMyAdmin. Удаленный атакующий может провести XSS атаку и получить доступ к важным данным пользователей.
    Уязвимость существует если параметр 'PmaAbsoluteUri' явно не задан в файле конфигураций 'config.inc.php'. Удаленный атакующий может использовать процесс автоматического определения для проведения XSS атаки. Удаленный атакующий может создать специальным образом URL, который выполнит произвольный HTML код в браузере целевого пользователя.

    Пример:

    http://[target]/[phpMyAdmin_directory]/main.php?"> <script>alert(document.cookie)</script></

    Уязвимость, также, существует при обработке входных данных параметра 'zero_rows' в файле
    'read_dump.php'.

    Пример:

    http://[target]/[phpMyAdmin_directory]/read_dump.php? sql_query=set%20@1=1&zero_rows=<script>alert(
    document.cookie)</script>

    Уязвимость существует при обработке входных данных форм. 

    Пример:

    http://[target]/[phpMyAdmin_directory]/read_dump.php?sql_query=
    drop%20database%20EXAMPLE&zero_rows="><script>alert (document.cookie)</script><input%20type=hidden%20value="/

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии