ASA-2018-00073 – phpMyAdmin: Validação de entrada ausente na árvore de navegação


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00073

Identificador(es)

ASA-2018-00073, CVE-2018-19970

Título

Validação de entrada ausente na árvore de navegação

Fabricante(s)

phpMyAdmin

Produto(s)

phpMyAdmin

Versão(ões) afetada(s)

As versões do phpMyAdmin de pelo menos 4.0 a 4.8.3 são afetadas.

Versão(ões) corrigida(s)

phpMyAdmin 4.8.4

Prova de conceito

Desconhecido

Descrição

Uma vulnerabilidade de validação de entrada ausente foi encontrada na árvore de navegação, na qual um invasor pode entregar uma carga útil a um usuário por meio de um nome de banco de dados/tabela especialmente criado. Isso pode levar a ataques de Cross-Site Scripting.

Detalhes técnicos

Desconhecido

Créditos

YU-HSIANG HUANG , YUNG-HAO TSENG, and Eddie TC CHANG

Referência(s)

Security fix: phpMyAdmin 4.8.4 is released
https://www.phpmyadmin.net/news/2018/12/11/security-fix-phpmyadmin-484-released/

phpMyAdmin – Security – PMASA-2018-8
https://www.phpmyadmin.net/security/PMASA-2018-8/

Fix phpmyadmin/phpmyadmin-security#260 Stored Cross-Site Scripting (XSS) in navigation tree
https://github.com/phpmyadmin/phpmyadmin/commit/b293ff5f234ef493336ed8638f623a12164d359e

CVE-2018-19970
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19970

CVE-2018-19970
https://nvd.nist.gov/vuln/detail/CVE-2018-19970


Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 14 de dezembro de 2018