| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.1 | $0-$5k | 0.00 |
Eine problematische Schwachstelle wurde in phpMyAdmin (Database Administration Software) ausgemacht. Dies betrifft ein unbekannter Teil. Mit der Manipulation des Arguments title mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-80. Auswirkungen sind zu beobachten für die Integrität. CVE fasst zusammen:
Multiple cross-site scripting (XSS) vulnerabilities in phpMyAdmin before 2.6.4-pl4 allow remote attackers to inject arbitrary web script or HTML via (1) the cookie-based login panel, (2) the title parameter and (3) the table creation dialog.Die Schwachstelle wurde am 23.11.2005 (Website) veröffentlicht. Auf phpmyadmin.net kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 24.11.2005 als CVE-2005-3787 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. MITRE ATT&CK führt die Angriffstechnik T1059.007 für diese Schwachstelle.
Für den Vulnerability Scanner Nessus wurde am 29.01.2006 ein Plugin mit der ID 20820 (SUSE-SA:2006:004: phpMyAdmin) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet.
Ein Upgrade auf die Version 2.6.4-pl4 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von X-Force (22836) und Tenable (20820) dokumentiert. Die Einträge 1835, 1834 und 26643 sind sehr ähnlich.
Produkt
Typ
Name
Version
- 2.2.0
- 2.2.7 Pl1
- 2.5.2 Pl1
- 2.5.3
- 2.5.4
- 2.5.5 Pl1
- 2.5.6 Rc2
- 2.5.7 Pl1
- 2.6.0 Pl3
- 2.6.1 Pl3
- 2.6.2 Pl1
- 2.6.3 Pl1
- 2.6.4 Pl3
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.1
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-80 / CWE-74 / CWE-707
ATT&CK: T1059.007
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 20820
Nessus Name: SUSE-SA:2006:004: phpMyAdmin
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: phpMyAdmin 2.6.4-pl4
Timeline
23.11.2005 🔍23.11.2005 🔍
23.11.2005 🔍
24.11.2005 🔍
29.01.2006 🔍
30.01.2006 🔍
11.03.2015 🔍
06.07.2021 🔍
Quellen
Produkt: phpmyadmin.netAdvisory: phpmyadmin.net
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2005-3787 (🔍)
X-Force: 22836
Vulnerability Center: 10229 - phpMyAdmin XSS via Login Panel, Title Parameter \x26 Table Creation Dialog, Medium
SecurityFocus: 16389 - PHPMyAdmin Multiple Cross-Site Scripting Vulnerabilities
Secunia: 17289
OSVDB: 21349 - PhpMyAdmin Table Creation Dialog XSS
Siehe auch: 🔍
Eintrag
Erstellt: 11.03.2015 23:39Aktualisierung: 06.07.2021 16:13
Anpassungen: 11.03.2015 23:39 (64), 13.06.2019 16:45 (4), 06.07.2021 16:13 (3)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.