Программа: phpMyAdmin 2.6.0-pl2 и более ранние версии 

Обнаружена уязвимость в phpMyAdmin. Удаленный атакующий может провести XSS атаку и получить доступ к важным данным пользователей.
Уязвимость существует если параметр 'PmaAbsoluteUri' явно не задан в файле конфигураций 'config.inc.php'. Удаленный атакующий может использовать процесс автоматического определения для проведения XSS атаки. Удаленный атакующий может создать специальным образом URL, который выполнит произвольный HTML код в браузере целевого пользователя.

Пример:

http://[target]/[phpMyAdmin_directory]/main.php?"> <script>alert(document.cookie)</script></

Уязвимость, также, существует при обработке входных данных параметра 'zero_rows' в файле
'read_dump.php'.

Пример:

http://[target]/[phpMyAdmin_directory]/read_dump.php? sql_query=set%20@1=1&zero_rows=<script>alert(
document.cookie)</script>

Уязвимость существует при обработке входных данных форм. 

Пример:

http://[target]/[phpMyAdmin_directory]/read_dump.php?sql_query=
drop%20database%20EXAMPLE&zero_rows="><script>alert (document.cookie)</script><input%20type=hidden%20value="/

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии