PT-2020-12334 · Phpmyadmin+3 · Phpmyadmin+3

Yutaka Watanabe

·

Publicado

2020-03-22

·

Atualizado

2024-06-15

·

CVE-2020-10803

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões do phpMyAdmin 4.x a 4.9.4
Versões do phpMyAdmin 5.x a 5.0.1
Descrição
Foi detectada uma vulnerabilidade de injeção de SQL na qual código malicioso poderia ser usado para desencadear um ataque XSS por meio da recuperação e exibição de resultados. Isso ocorre em arquivos como tbl get field.php e libraries/classes/Display/Results.php. O invasor precisa ser capaz de inserir dados manipulados em determinadas tabelas do banco de dados, os quais, quando recuperados, por exemplo, pela guia “Browse”, podem desencadear o ataque XSS.
Recomendações
Para as versões 4.x a 4.9.4 do phpMyAdmin, atualize para a versão 4.9.5 ou posterior.
Para as versões 5.x a 5.0.1 do phpMyAdmin, atualize para a versão 5.0.2 ou posterior.

Exploit

Correção

SQL injection

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89CWE-79

Identificadores relacionados

ALT-PU-2020-2100
ALT-PU-2020-3212
ALT-PU-2021-3657
BIT-PHPMYADMIN-2020-10803
CVE-2020-10803
DLA-2154-1
GHSA-FCWW-8WVC-38Q9
MGASA-2020-0150
OPENSUSE-SU-2020:0405-1
OPENSUSE-SU-2020:0427-1
OPENSUSE-SU-2020:1806-1
OPENSUSE-SU-2020_0405-1
OPENSUSE-SU-2020_1806-1
OPENSUSE-SU-2024:11171-1
USN-4639-1

Produtos afetados

Alt Linux
Suse
Ubuntu
Phpmyadmin