Vulnérabilité 0day dans PHPMyAdmin

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 4004
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Vulnérabilité 0day dans PHPMyAdmin

Message par charles » 20 sept. 2019 09:04

Après avoir informé l'équipe de développement de PHPMyAdmin, qui ne lui a pas donné de réponse au bout de 3 mois, Manuel Garcia Cardenas a révélé publiquement une vulnérabilité de type Cross-site request forgery qui pourrait permettre la suppression de la configuration PHPMyAdmin si un utilisateur authentifié venait à cliquer sur un lien malveillant de ce type :

Code : Tout sélectionner

<p>Deleting Server 1</p>
<img src="
http://server/phpmyadmin/setup/index.php?page=servers&mode=remove&id=1";
style="display:none;" />
https://seclists.org/fulldisclosure/2019/Sep/23

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »