Descubierta vulnerabilidad de tipo "Auto"-XSS (cross-site
scripting) en phpMyAdmin al importar ficheros, provocado por código HTML sin
escapar. La vulnerabilidad ha sido ha sido catalogad con importancia: 3 - Media
Recursos afectados
- Todas las versiones desde la 3.3.1 y anteriores a la 4.1.7.
Detalle e impacto de la vulnerabilidad
- Se puede provocar XSS (cross-site scripting) al importar un fichero con un nombre especialmente manipulado.
- Esta vulnerabilidad puede ser provocada únicamente por alguien logueado en phpMyAdmin, ya que la protección basada en tokens evita que usuarios no autenticados accedan al formulario vulnerable.
Recomendación
Optar por una de las siguientes opciones:
- Actualizar a phpMyAdmin 4.1.7 o posterior
- Aplicar el parche siguiente, Patch: Sanitize filename in import message ( https://github.com/phpmyadmin/phpmyadmin/commit/968d5d5f486820bfa30af046f063b9f23304e14a )
Más información
phpMyAdmin - Security - PMASA-2014-1 http://www.phpmyadmin.net/home_page/security/PMASA-2014-1.php
Fuente: Inteco
