Delicious Digg Facebook Favorites More Stumbleupon Twitter

Vigil@nce – phpMyAdmin : multiples vulnérabilités

Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de phpMyAdmin.

Produits concernés : Debian, Fedora, openSUSE, openSUSE Leap, phpMyAdmin, Synology DSM, Synology DS***, Synology RS***.

Gravité : 2/4.

Date création : 25/11/2016.

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans phpMyAdmin.

Un attaquant peut tromper l’utilisateur, afin de le rediriger vers un site malveillant. [grav:1/4 ; CVE-2016-4412, PMASA-2016-57]

Un attaquant peut contourner les mesures de sécurité via blowfish_secret, afin d’obtenir des informations sensibles. [grav:2/4 ; CVE-2016-9847, PMASA-2016-58]

Un attaquant peut contourner les mesures de sécurité via HttpOnly Cookies, afin d’obtenir des informations sensibles. [grav:1/4 ; CVE-2016-9848, PMASA-2016-59]

Un attaquant peut contourner les mesures de sécurité via Null Byte, afin d’élever ses privilèges. [grav:2/4 ; CVE-2016-9849, PMASA-2016-60]

Un attaquant peut contourner les mesures de sécurité via Allow/deny Rules, afin d’élever ses privilèges. [grav:2/4 ; CVE-2016-9850, PMASA-2016-61]

Un attaquant peut contourner les mesures de sécurité via Logout Timeout, afin d’élever ses privilèges. [grav:1/4 ; CVE-2016-9851, PMASA-2016-62]

Un attaquant peut contourner les mesures de sécurité via Full Path Disclosure, afin d’obtenir des informations sensibles. [grav:1/4 ; CVE-2016-9852, CVE-2016-9853, CVE-2016-9854, CVE-2016-9855, PMASA-2016-63]

Un attaquant peut provoquer un Cross Site Scripting, afin d’exécuter du code JavaScript dans le contexte du site web. [grav:2/4 ; CVE-2016-9856, CVE-2016-9857, PMASA-2016-64]

Un attaquant peut provoquer une erreur fatale, afin de mener un déni de service. [grav:2/4 ; CVE-2016-9858, CVE-2016-9859, CVE-2016-9860, PMASA-2016-65]

Un attaquant peut tromper l’utilisateur, afin de le rediriger vers un site malveillant. [grav:1/4 ; CVE-2016-9861, PMASA-2016-66]

Un attaquant peut utiliser une vulnérabilité via BBCode, afin d’exécuter du code. [grav:2/4 ; CVE-2016-9862, PMASA-2016-67]

Un attaquant peut provoquer une erreur fatale via Table Partitioning, afin de mener un déni de service. [grav:2/4 ; CVE-2016-9863, PMASA-2016-68]

Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données. [grav:2/4 ; CVE-2016-9864, PMASA-2016-69]

Un attaquant peut utiliser une vulnérabilité via PMA_safeUnserialize, afin d’exécuter du code. [grav:2/4 ; CVE-2016-9865, PMASA-2016-70]

Un attaquant peut provoquer un Cross Site Request Forgery, afin de forcer la victime à effectuer des opérations. [grav:2/4 ; CVE-2016-9866, PMASA-2016-71]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

https://vigilance.fr/vulnerabilite/…

Source:: Global Security Mag

Text Widget

Aliquam ut tellus ligula. Nam blandit massa nec neque rutrum a euismod t ellus ultricies! Phasellus nulla tellus, fringilla quis tristique ornare, condi mentum non erat. Aliquam congue or nare varius.