CVE-2022-23808

Versões 5.1 a 5.1.1 do phpMyAdmin

A versão 5.1.2 do phpMyAdmin não foi afetada, mas todas as versões anteriores à 5.1.2 estão vulneráveis.

Foi descoberta uma falha no phpMyAdmin que permite que um invasor injete código malicioso em partes do script de configuração, o que pode possibilitar ataques XSS ou injeção de HTML. Isso pode permitir que invasores manipulem contas de usuário ou contornem a autenticação de dois fatores em sessões de autenticação subsequentes. Além disso, foram identificadas vulnerabilidades que permitem que usuários mal-intencionados enviem informações maliciosas, realizando ataques XSS ou de injeção de HTML na página gráfica de configuração. Em alguns cenários, informações confidenciais, como nomes de bancos de dados, podem fazer parte da URL, e mensagens de erro durante tentativas de login malsucedidas podem revelar o nome do host ou o endereço IP do servidor de banco de dados de destino.

Para as versões 5.1 a 5.1.1 do phpMyAdmin, atualize para a versão 5.1.2 ou posterior para resolver o problema.

Como solução temporária, considere restringir o acesso ao script de configuração até que um patch esteja disponível.

Evite usar a página de configuração gráfica com entradas não confiáveis até que o problema seja resolvido.

Habilite o parâmetro de cookie “SameSite” ao usar a versão 7.3 ou mais recente do PHP para aumentar a segurança.