| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.7 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in phpMyAdmin 2.8.0.1/2.8.0.2/2.8.0.3 gefunden. Sie wurde als problematisch eingestuft. Hierbei betrifft es unbekannten Programmcode der Datei Index.PHP. Durch Beeinflussen des Arguments db mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2006-2417 gehandelt. Der Angriff lässt sich über das Netzwerk starten. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
phpMyAdmin ist eine beliebte Web-Oberfläche für die SQL-Administration. Wie das Entwicklerteam meldet, existiert eine Cross Site Scripting-Schwachstelle in den bisherigen Software-Versionen. Dieses Mal sei der db-Parameter betroffen, durch den beliebiger Script-Code injiziert werden kann. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde in phpMyAdmin 2.8.0.4 behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (26444), Tenable (27394), SecurityFocus (BID 17973†), OSVDB (26316†) und Secunia (SA20113†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-2234, VDB-30271 und VDB-29905. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Für den Vulnerability Scanner Nessus wurde am 17.10.2007 ein Plugin mit der ID 27394 (openSUSE 10 Security Update : phpMyAdmin (phpMyAdmin-1611)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet.
phpMyAdmin läuft meist in einem geschützten Bereich ab und ist nur legitimen Administratoren zugänglich. Das Umsetzen von erfolgreichen Cross Site Scripting-Attacken durch einen externen Angreifer gestalten sich deshalb nicht gerade einfach. Das Interesse an dieser Schwachstelle ist deshalb eher akademischer Natur.
Produkt
Typ
Name
Version
Lizenz
Webseite
- Produkt: https://www.phpmyadmin.net/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 5.7
VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 27394
Nessus Name: openSUSE 10 Security Update : phpMyAdmin (phpMyAdmin-1611)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Port: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: phpMyAdmin 2.8.0.4
Patch: phpmyadmin.net
Timeline
15.05.2006 🔍15.05.2006 🔍
15.05.2006 🔍
15.05.2006 🔍
15.05.2006 🔍
15.05.2006 🔍
16.05.2006 🔍
16.05.2006 🔍
08.03.2007 🔍
17.10.2007 🔍
12.03.2021 🔍
Quellen
Produkt: phpmyadmin.netAdvisory: phpmyadmin.net
Person: Sven Vetsch (Disenchant)
Firma: Redguard AG
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2006-2417 (🔍)
GCVE (CVE): GCVE-0-2006-2417
GCVE (VulDB): GCVE-100-2235
X-Force: 26444 - phpMyAdmin theme parameter cross-site scripting, Medium Risk
SecurityFocus: 17973 - phpMyAdmin Index.PHP Multiple Cross-Site Scripting Vulnerabilities
Secunia: 20113 - phpMyAdmin "theme" and "db" Cross-Site Scripting Vulnerabilities, Less Critical
OSVDB: 26316 - phpMyAdmin theme Parameter XSS
Vulnerability Center: 14564 - phpMyAdmin Theme Parameter Cross Site Scripting, Medium
Vupen: ADV-2006-1794
Siehe auch: 🔍
Eintrag
Erstellt: 15.05.2006 17:22Aktualisierung: 12.03.2021 19:15
Anpassungen: 15.05.2006 17:22 (82), 11.09.2017 08:48 (9), 12.03.2021 19:15 (3)
Komplett: 🔍
Cache ID: 216:779:103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.