CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
3.4 | $0-$5k | 0.00 |
phpMyAdmin ist eine beliebte Web-Oberfläche für die SQL-Administration. Nicolas Gregoire von Exaprobe entdeckte zwei Sicherheitslücken in phpMyAdmin bis 2.6.1-rc1. Durch eine SQL-Injection bei den jeweiligen Eingabefeldern ist es unter Umständen möglich, über die Upload-Funktion Dateien anzeigen zu lassen. Zum Zweck eines erfolgreichen Angriffs muss der PHP Safe Mode ausgeschaltet und $cfg['UploadDir'] definiert sein. Der Fehler wurde in phpMyAdmin 2.6.1-rc1 behoben. Als Workaround wird empfohlen, nur vertrauenswürdigen Benutzern Zugriff auf die phpMyAdmin-Oberfläche zu gewähren und unerwünschte Zugriffe zusätzlich mittels Firewalling zu verhindern. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (18441) und Tenable (16006) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 1030 und 23716.
Für den Vulnerability Scanner Nessus wurde am 20.12.2004 ein Plugin mit der ID 16006 (GLSA-200412-19 : phpMyAdmin: Multiple vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Gentoo Local Security Checks zugeordnet und im Kontext l ausgeführt.
Eingabeungültigkeiten sind grundsätzlich eine der grössten Unannehmblichkeiten im modernen Web-Betrieb. Von Glück darf man in diesem Falle sprechen, da die Schwachstelle nur legitimen Benutzern zugänglich ist. Auf Multiuser- oder gemieteten Systemen (z.B. Ohne Shell-Zugriff) kann sich die Sicherheitslücke aber durchaus als kritisch erweisen. Nämlich dann, wenn ein vermeintlich legitimer Benutzer seine Rechte unweigerlich ausweitet.
Produkt
Typ
Name
Version
- 2.4.0
- 2.5.0
- 2.5.1
- 2.5.2
- 2.5.4
- 2.5.5
- 2.5.5 Pl1
- 2.5.5 Rc1
- 2.5.5 Rc2
- 2.5.6 Rc1
- 2.5.7
- 2.5.7 Pl1
- 2.6.0 Pl1
- 2.6.0 Pl2
- 2.6.0 Pl3
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 3.7VulDB Meta Temp Score: 3.4
VulDB Base Score: 3.7
VulDB Temp Score: 3.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Information DisclosureCWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 16006
Nessus Name: GLSA-200412-19 : phpMyAdmin: Multiple vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 54778
OpenVAS Name: Gentoo Security Advisory GLSA 200412-19 (phpmyadmin)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
Patch: phpmyadmin.net
Timeline
06.12.2004 🔍13.12.2004 🔍
13.12.2004 🔍
13.12.2004 🔍
13.12.2004 🔍
13.12.2004 🔍
13.12.2004 🔍
14.12.2004 🔍
15.12.2004 🔍
19.12.2004 🔍
19.12.2004 🔍
20.12.2004 🔍
10.01.2005 🔍
30.06.2019 🔍
Quellen
Produkt: phpmyadmin.netAdvisory: exaprobe.com
Person: Nicolas Gregoire
Firma: Exaprobe
Status: Nicht definiert
CVE: CVE-2004-1147 (🔍)
X-Force: 18441 - phpMyAdmin command execute, High Risk
Vulnerability Center: 6566 - Code Execution in phpMyAdmin < 2.6.1 -rc1 via Shell Metacharacters, Medium
SecurityFocus: 11886 - phpMyAdmin Multiple Remote Vulnerabilities
Secunia: 13424 - phpMyAdmin Two Vulnerabilities, Highly Critical
OSVDB: 12330 - phpMyAdmin External Transformations Remote Command Execution
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 15.12.2004 16:50Aktualisierung: 30.06.2019 12:45
Anpassungen: 15.12.2004 16:50 (93), 30.06.2019 12:45 (7)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.