Se han publicado nuevas versiones de phpMyAdmin que
subsanan errores de cross-site scripting (XSS) y salto de restricciones,
calificadas de no críticas al ser necesario estar autenticado para explotarlas.
PhpMyAdmin es
una popular herramienta, escrita en PHP, para la administración de MySQL a
través de un navegador. Este software permite crear, modificar y eliminar bases
de datos, tablas, campos, administrar privilegios y, en general, ejecutar
cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo
licencia GPL.
Recursos afectados
- Las vulnerabilidades se han solucionado en las versiones 4.0.10.1, 4.1.14.2 y 4.2.6.
- Tres vulnerabilidades de Cross-site scripting. Con CVE-2014-4954, un fallo al mostrar la página de la estructura de la base de datos localizado en la función 'PMA_getHtmlForActionLinks' del fichero 'libraries/structure.lib.php'. Afecta a 4.2.x.
- Con CVE-2014-4955, un fallo al mostrar la página de triggers localizado en la función 'PMA_TRI_getRowForList' del fichero 'libraries/rte/rte_list.lib.php'. Afecta a 4.0.x, 4.1.x y 4.2.x. Y conCVE-2014-4986, múltiples errores en la construcción de mensajes de confirmación AJAX en 'js/functions.js'. Afecta a 4.0.x, 4.1.x y 4.2.x.
- Por último, un salto derestricciones (CVE-2014-4987) por un error en 'server_user_groups.php' que permitiría saltar restricciones de seguridad y leer la lista de usuarios MySQL Afecta a 4.1.x y 4.2.x.
- PMASA-2014-4(http://www.phpmyadmin.net/home_page/security/PMASA-2014-4.php)
- PMASA-2014-5(http://www.phpmyadmin.net/home_page/security/PMASA-2014-5.php)
- PMASA-2014-6(http://www.phpmyadmin.net/home_page/security/PMASA-2014-6.php)
- PMASA-2014-7(http://www.phpmyadmin.net/home_page/security/PMASA-2014-7.php)
