phpMyAdmin 3.5.2.2 cross_framing_protection.js erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Es wurde eine Schwachstelle in phpMyAdmin 3.5.2.2 (Database Administration Software) ausgemacht. Sie wurde als kritisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Datei server_synch.php/cross_framing_protection.js. Durch Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-94 vorgenommen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
phpMyAdmin 3.5.2.2, as distributed by the cdnetworks-kr-1 mirror during an unspecified time frame in 2012, contains an externally introduced modification (Trojan Horse) in server_sync.php, which allows remote attackers to execute arbitrary PHP code via an eval injection attack. Eine kompromitierte Version, mit einer Backdoor, wurde über den Mirror cdnetworks-kr-1 verbreitet.Gefunden wurde das Problem am 25.09.2012. Die Schwachstelle wurde am 25.09.2012 von Tencent Security Response Center in Form eines nicht definierten Blog Posts (Website) publiziert. Bereitgestellt wird das Advisory unter sourceforge.net. Die Herausgabe passierte in Zusammenarbeit mit dem Projektteam. Die Identifikation der Schwachstelle wird seit dem 25.09.2012 mit CVE-2012-5159 vorgenommen. Das Ausnutzen gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1059 aus.
Es wurde 3 Wochen nach dem Advisory ein Exploit veröffentlicht. Unter exploit-db.com wird der Exploit bereitgestellt. Er wird als hoch funktional gehandelt. Der Preis als 0-Day war auf dem Schwarzmarkt etwa $5k-$25k. Für den Vulnerability Scanner Nessus wurde am 26.09.2012 ein Plugin mit der ID 62312 (phpMyAdmin server_sync.php Backdoor (PMASA-2012-5)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet und im Kontext r ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 12602 (phpMyAdmin Compromised Source Package Backdoor Security Issue (PMASA-2012-5)) zur Prüfung der Schwachstelle an.
Ein Aktualisieren vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Die Entwickler haben daher sofort gehandelt. Falls Sie die betroffene Version vom besagten Mirror installiert haben, entfernen Sie die Source und installieren Sie eine frische Kopie.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (62312) und Exploit-DB (21834) dokumentiert. Das deutsche IT-Nachrichtenportal Heise berichtet ebenfalls über den Fall.
Produkt
Typ
Name
Version
Lizenz
CPE 2.3
CPE 2.2
Video
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-94 / CWE-74 / CWE-707
ATT&CK: T1059
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 62312
Nessus Name: phpMyAdmin server_sync.php Backdoor (PMASA-2012-5)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 103230
OpenVAS Name: phpMyAdmin server_sync.php Backdoor Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
MetaSploit ID: phpmyadmin_3522_backdoor.rb
MetaSploit Name: phpMyAdmin 3.5.2.2 server_sync.php Backdoor
MetaSploit Datei: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
Fortigate IPS: 🔍
Timeline
25.09.2012 🔍25.09.2012 🔍
25.09.2012 🔍
25.09.2012 🔍
25.09.2012 🔍
25.09.2012 🔍
25.09.2012 🔍
26.09.2012 🔍
26.09.2012 🔍
27.09.2012 🔍
01.10.2012 🔍
10.10.2012 🔍
30.07.2019 🔍
Quellen
Produkt: phpmyadmin.netAdvisory: sourceforge.net
Firma: Tencent Security Response Center
Status: Nicht definiert
Bestätigung: 🔍
Koordiniert: 🔍
CVE: CVE-2012-5159 (🔍)
Vulnerability Center: 36273 - phpMyAdmin 3.5.2.2 Mirror Distribution Remote Arbitrary PHP Code Execution, Medium
SecurityFocus: 55672 - phpMyAdmin 'server_sync.php' Backdoor Vulnerability
Secunia: 50703
OSVDB: 85739 - CVE-2012-5159 - PhpMyAdmin - Code Execution Issue
Heise: 1717377
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 01.10.2012 10:06Aktualisierung: 30.07.2019 22:02
Anpassungen: 01.10.2012 10:06 (89), 30.07.2019 22:02 (10)
Komplett: 🔍
Editor: olku
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.