| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.0 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in phpMyAdmin 2.11.1 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Funktion der Datei setup.php. Durch das Manipulieren mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2007-5386 geführt. Ein Angriff ist aus der Distanz möglich. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
phpMyAdmin ist eine freie PHP-Applikation zur Administration von MySQL-Datenbanken. Die Administration erfolgt über HTTP mit einem Browser. Daher können auch Datenbanken auf fremden Rechnern über eine Netzwerkverbindung oder über das Internet administriert werden. Für die Nutzung des Programms sind keine Kenntnisse in SQL notwendig, da die Applikation nach dem WYSIWYG-Verfahren arbeitet. Omer Singer berichtet von einer Schwachstelle in der Datei setup.php, bei der Eingaben die via HTTP GET übertragen werden nicht zureichend validiert werden, bevor sie dem Browser des Benutzers zurückgegeben werden. Dadurch können webbasierte Angriffsvektoren wie XSS oder CSRF angestrebt werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (37077), Exploit-DB (30653), Tenable (27842), SecurityFocus (BID 26020†) und OSVDB (37678†) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Für den Vulnerability Scanner Nessus wurde am 09.11.2007 ein Plugin mit der ID 27842 (Debian DSA-1403-1 : phpmyadmin - missing input sanitising) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Debian Local Security Checks zugeordnet und im Kontext l ausgeführt.
phpMyAdmin gehört zum Standardrepertoire vieler Webmaster und ist somit sicherlich ein beliebtes Ziel für Angriffe. Allerdings ist es wichtig zu erwähnen, dass lediglich Browser verwundbar sind, bei denen beim Absenden des Requests keine URL-Enkodierung stattfindet, wie z.B. IE6. Entsprechend ist diese Schwachstelle lediglich als problematisch zu werten. Es empfiehlt sich, das freigegebene Update des Herstellers baldmöglichst einzuspielen.
Produkt
Typ
Name
Version
Lizenz
Webseite
- Produkt: https://www.phpmyadmin.net/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Cross Site ScriptingCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍
Google Hack: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 27842
Nessus Name: Debian DSA-1403-1 : phpmyadmin - missing input sanitising
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 58736
OpenVAS Name: Debian Security Advisory DSA 1403-1 (phpmyadmin)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: phpmyadmin.net
Timeline
09.10.2007 🔍09.10.2007 🔍
09.10.2007 🔍
09.10.2007 🔍
11.10.2007 🔍
11.10.2007 🔍
11.10.2007 🔍
12.10.2007 🔍
18.10.2007 🔍
22.10.2007 🔍
08.11.2007 🔍
09.11.2007 🔍
09.11.2007 🔍
14.11.2025 🔍
Quellen
Produkt: phpmyadmin.netAdvisory: digitrustgroup.com
Person: Omer Singer (DiGiT)
Firma: DigiTrust Group
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2007-5386 (🔍)
GCVE (CVE): GCVE-0-2007-5386
GCVE (VulDB): GCVE-100-3380
OVAL: 🔍
X-Force: 37077 - phpMyAdmin setup.php cross-site scripting, Medium Risk
SecurityFocus: 26020 - phpMyAdmin Setup.PHP Cross-Site Scripting Vulnerability
Secunia: 27595
OSVDB: 37678 - phpMyAdmin setup.php URL XSS
Vulnerability Center: 16609 - PhpMyAdmin Vulnerability Allows Remote Attackers to Conduct XSS Attack, Low
Vupen: ADV-2007-3469
scip Labs: https://www.scip.ch/?labs.20161013
Eintrag
Erstellt: 18.10.2007 09:49Aktualisierung: 14.11.2025 13:12
Anpassungen: 18.10.2007 09:49 (98), 28.07.2019 22:54 (1), 14.11.2025 13:12 (19)
Komplett: 🔍
Cache ID: 216:2AE:103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.