phpMyAdmin até 2.9.1 Rc2 Table Comment Roteiro Cruzado de Sítios

CVSS Meta Temp scorePreço de exploração actual (≈)Nota de Interesse CTI
5.7$0-$5k0.00

Uma vulnerabilidade foi encontrada em phpMyAdmin até 2.9.1 Rc2 e classificada como problemático. Afectado é uma função desconhecida do componente Table Comment Handler. A manipulação com uma entrada desconhecida leva a Roteiro Cruzado de Sítios. A definição de CWE para a vulnerabilidade é CWE-80. O bug foi descoberto em 17/11/2006. O aconselhamento é partilhado para download em s-a-p.ca.

A vulnerabilidade é identificada como CVE-2006-6944. A atribuição do CVE aconteceu em 18/01/2007. O ataque pode ser iniciado a partir da rede. Não há detalhes técnicos disponíveis. A vulnerabilidade é relativamente popular. Além disso, há uma exploração disponível. O projecto MITRE ATT&CK utiliza a técnica de ataque T1059.007 para esta edição.

É declarado como proof-of-concept. A exploração é partilhada para download em s-a-p.ca. Esperamos que o dia 0 tenha valido aproximadamente $5k-$25k. O scanner de vulnerabilidade Nessus fornece um plugin com o ID 26031 (Debian DSA-1370-1 : phpmyadmin - several vulnerabilities), que ajuda a determinar a existência da falha num ambiente alvo. É atribuído à família Debian Local Security Checks. O plugin está a funcionar no contexto do tipo l.

A actualização para a versão 2.9.1.1 é capaz de abordar esta questão. O bugfix está pronto para download em phpmyadmin.net. Recomenda-se a actualização do componente afectado. Uma possível atenuação foi publicada 11 Meses após a revelação da vulnerabilidade.

A vulnerabilidade está também documentada noutras bases de dados de vulnerabilidade: X-Force (31640), Secunia (SA22969), Vulnerability Center (SBV-16089) e Tenable (26031).

Produtoinformação

Tipo

Nome

Versão

Licença

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 6.3
VulDB Meta Temp score: 5.7

VulDB Pontuação Base: 6.3
VulDB Pontuação da Tempestade: 5.7
VulDB Vector: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação da Tempestade: 🔍
VulDB Fiabilidade: 🔍

NVD Pontuação Base: 🔍

Exploraçãoinformação

Classe: Roteiro Cruzado de Sítios
CWE: CWE-80 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Local: Não
Remoto: Sim

Disponibilidade: 🔍
Estado: Proof-of-Concept
Descarregar: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência dos preços: 🔍
Estimativa de preço actual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Nessus ID: 26031
Nessus Nome: Debian DSA-1370-1 : phpmyadmin - several vulnerabilities
Nessus Arquivo: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍

OpenVAS ID: 58592
OpenVAS Nome: Debian Security Advisory DSA 1370-1 (phpmyadmin)
OpenVAS Arquivo: 🔍
OpenVAS Família: 🔍

Inteligência de Ameaçasinformação

Interesse: 🔍
Actores Activos: 🔍
Grupos APT activos: 🔍

Contra-medidasinformação

Recomendação: Actualização
Estado: 🔍

Tempo de resposta: 🔍
Tempo 0-Dia: 🔍
Tempo de Exposição: 🔍

Actualização: phpMyAdmin 2.9.1.1
Patch: phpmyadmin.net

Linha do tempoinformação

17/11/2006 🔍
17/11/2006 +0 Dias 🔍
17/11/2006 +0 Dias 🔍
17/11/2006 +0 Dias 🔍
17/11/2006 +0 Dias 🔍
21/11/2006 +3 Dias 🔍
18/01/2007 +58 Dias 🔍
18/01/2007 +0 Dias 🔍
09/09/2007 +234 Dias 🔍
14/09/2007 +5 Dias 🔍
18/09/2007 +4 Dias 🔍
25/07/2019 +4328 Dias 🔍

Fontesinformação

Produto: phpmyadmin.net

Aconselhamento: s-a-p.ca
Pessoa: Laurent Gaffié, Benjamin Mossé
Estado: Não definido
Confirmado: 🔍

CVE: CVE-2006-6944 (🔍)
OVAL: 🔍

X-Force: 31640
Vulnerability Center: 16089 - PhpMyAdmin < 2.9.1.1 Remote Allow/Deny Access Rules Bypass, High
Secunia: 22969
OSVDB: 30472 - phpMyAdmin Proxy Header Modification ACL Bypass
Vupen: ADV-2006-4572

Veja também: 🔍

Entradainformação

Criado em: 21/11/2006 13h53
Actualizado em: 25/07/2019 21h36
Ajustamentos: 21/11/2006 13h53 (87), 25/07/2019 21h36 (2)
Completo: 🔍

Discussão

Ainda sem comentários. Idiomas: pt + en.

Por favor inicie sessão para comentar.

VoltarVisão GeralPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!