| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.8 | $0-$5k | 0.00 |
hpMyAdmin ist eine beliebte Web-Oberfläche für die SQL-Administration. lwang entdeckte das Fehlen einer Eingabeüberprüfung in server_privileges.php. Durch diesen Fehler können Cross Site Scripting-Attacken und SQL-Injection Angriffe umgesetzt werden. Betroffen sind die Parameter checkprivs und hostname. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wird voraussichtlich mit einer neuen Software-Version behoben werden. Zwischenzeitlich wird empfohlen, lediglich vertrauenswürdigen Benutzern Zugriff über phpMyAdmin zu gewährleisten. Von weiterem Interesse können die folgenden Einträge sein: 27691.
Diese Möglichkeit wird mit grösster Wahrscheinlichkeit in zukünftige Webserver- und CGI-Scanning-Tools miteinfliessen - Dies ist nur noch eine Frage der Zeit. Gegenmassnahmen auf exponierten Systemen, vor allem solche mit Multiuser-Verhalten, umzusetzen ist deshalb dringendst empfohlen.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 5.8
VulDB Base Score: 6.3
VulDB Temp Score: 5.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: SQL InjectionCWE: CWE-89 / CWE-74 / CWE-707
ATT&CK: T1505
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: FirewallStatus: 🔍
0-Day Time: 🔍
Patch: phpmyadmin.net
Timeline
19.12.2005 🔍19.12.2005 🔍
19.12.2005 🔍
19.12.2005 🔍
22.12.2005 🔍
31.08.2017 🔍
Quellen
Produkt: phpmyadmin.netAdvisory: secunia.com⛔
Person: lwang
Status: Nicht definiert
Infragegestellt: 🔍
CVE: CVE-2005-4349 (🔍)
Secunia: 18113 - phpMyAdmin Cross-Site Request Forgery Vulnerability, Less Critical
OSVDB: 21978 - phpMyAdmin server_privileges.php Multiple Parameter CSRF
Vupen: ADV-2005-2995
Siehe auch: 🔍
Eintrag
Erstellt: 22.12.2005 16:31Aktualisierung: 31.08.2017 10:49
Anpassungen: 22.12.2005 16:31 (59), 31.08.2017 10:49 (6)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.