ASA-2018-00073 – phpMyAdmin: Validação de entrada ausente na árvore de navegação


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00073

Identificador(es)

ASA-2018-00073, CVE-2018-19970, PMASA-2018-8

Título

Validação de entrada ausente na árvore de navegação

Fabricante(s)

The phpMyAdmin Project

Produto(s)

phpMyAdmin

Versão(ões) afetada(s)

As versões do phpMyAdmin de pelo menos 4.0 a 4.8.3 são afetadas.

Versão(ões) corrigida(s)

phpMyAdmin 4.8.4

Prova de conceito

Desconhecido

Descrição

Uma vulnerabilidade de validação de entrada ausente foi encontrada na árvore de navegação, na qual um atacante pode entregar uma carga útil a um usuário por meio de um nome de banco de dados/tabela especialmente criado. Isso pode levar a ataques de Cross-Site Scripting.

Detalhes técnicos

Desconhecido

Créditos

YU-HSIANG HUANG , YUNG-HAO TSENG e Eddie TC CHANG

Referência(s)

Security fix: phpMyAdmin 4.8.4 is released
https://www.phpmyadmin.net/news/2018/12/11/security-fix-phpmyadmin-484-released/

phpMyAdmin – Security – PMASA-2018-8
https://www.phpmyadmin.net/security/PMASA-2018-8/

Fix phpmyadmin/phpmyadmin-security#260 Stored Cross-Site Scripting (XSS) in navigation tree
https://github.com/phpmyadmin/phpmyadmin/commit/b293ff5f234ef493336ed8638f623a12164d359e

CVE-2018-19970
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19970

CVE-2018-19970
https://nvd.nist.gov/vuln/detail/CVE-2018-19970

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 11 março 2019