phpMyAdmin до 2.11.9.2 libraries/common.lib.php PMA_linkOrButton tag_params межсайтовый скриптинг

CVSS Meta Temp ScoreТекущая цена эксплуатации (≈)Балл интереса CTI
3.9$0-$5k0.00

Уязвимость была найдена в phpMyAdmin до 2.11.9.2 и классифицирована как проблемные. Затронута функция PMA_linkOrButton в библиотеке libraries/common.lib.php. Определение CWE для уязвимости следующее CWE-79. Консультация представлена на сайте phpmyadmin.net.

Эта уязвимость известна как CVE-2010-4329. Назначение CVE произошло 29.11.2010. Атака может быть осуществлена удаленно. Имеются технические подробности. Популярность этой уязвимости ниже среднего. Более того, существует эксплойт. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK использует технику атаки T1059.007 для этой проблемы.

Объявляется proof-of-concept. Мы ожидаем, что 0-день стоил приблизительно $5k-$25k. Сканер уязвимостей Nessus предоставляет плагин с ID 51401 (Debian DSA-2139-1 : phpmyadmin - several vulnerabilities), который помогает определить наличие изъяна в целевой среде. Он относится к семейству Debian Local Security Checks. Он полагается на порт 0.

Обновление до версии 2.11.9.3 способно решить эту проблему. Рекомендуется обновить затронутый компонент.

Эта уязвимость также документирована в других базах данных уязвимостей: SecurityFocus (BID 45100), Secunia (SA42408), Vulnerability Center (SBV-28466) и Tenable (51401).

ПродуктИнформация

Тип

Имя

Версия

Лицензия

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Вектор: 🔍
VulDB Надежность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 4.3
VulDB Meta Temp Score: 3.9

VulDB Базовый балл: 4.3
VulDB Временная оценка: 3.9
VulDB Вектор: 🔍
VulDB Надежность: 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать
разблокироватьразблокироватьразблокироватьразблокироватьразблокироватьразблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надежность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: межсайтовый скриптинг
CWE: CWE-79 / CWE-74 / CWE-707
CAPEC: 🔍
ATT&CK: 🔍

Локальный: Нет
Удаленный: Да

Доступность: 🔍
Статус: Proof-of-Concept
Google Hack: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогнозирование цены: 🔍
Оценка текущей цены: 🔍

0-Dayразблокироватьразблокироватьразблокироватьразблокировать
Сегодняразблокироватьразблокироватьразблокироватьразблокировать

Nessus ID: 51401
Nessus Имя: Debian DSA-2139-1 : phpmyadmin - several vulnerabilities
Nessus Файл: 🔍
Nessus Риск: 🔍
Nessus Семейство: 🔍
Nessus Port: 🔍

OpenVAS ID: 68980
OpenVAS Имя: Debian Security Advisory DSA 2139-1 (phpmyadmin)
OpenVAS Файл: 🔍
OpenVAS Семейство: 🔍

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендуется: Обновление
Статус: 🔍

Время реакции: 🔍
0-дневное время: 🔍
Время эксплойта: 🔍
Время задержки эксплойта: 🔍

Обновление: phpMyAdmin 2.11.9.3
Патч: 4341818d73d454451f024950a4ce0141608ac7f8

Временная шкалаИнформация

22.11.2010 🔍
22.11.2010 +0 дни 🔍
29.11.2010 +6 дни 🔍
29.11.2010 +0 дни 🔍
29.11.2010 +0 дни 🔍
29.11.2010 +0 дни 🔍
30.11.2010 +0 дни 🔍
02.12.2010 +1 дни 🔍
05.12.2010 +3 дни 🔍
03.01.2011 +29 дни 🔍
19.03.2015 +1536 дни 🔍
06.10.2021 +2393 дни 🔍

ИсточникиИнформация

Продукт: phpmyadmin.net

Консультация: DSA-2139
Исследователь: Alexander
Статус: Не определено
Подтверждение: 🔍

CVE: CVE-2010-4329 (🔍)
OVAL: 🔍

Vulnerability Center: 28466 - phpMyAdmin 2.11.x before 2.11.11.1 and 3.x before 3.3.8.1 Remote Cross Site Scripting Vulnerability, Medium
SecurityFocus: 45100 - phpMyAdmin Database Search Cross Site Scripting Vulnerability
Secunia: 42408
OSVDB: 69516 - phpMyAdmin Database Search libraries/common.lib.php tag_params Parameter XSS
Vupen: ADV-2010-3082

scip Labs: https://www.scip.ch/en/?labs.20161013
Смотрите также: 🔍

ВходИнформация

Создано: 19.03.2015 14:37
Обновлено: 06.10.2021 03:43
Изменения: 19.03.2015 14:37 (76), 22.08.2017 11:37 (8), 06.10.2021 03:28 (5), 06.10.2021 03:36 (1), 06.10.2021 03:43 (2)
Завершить: 🔍

Обсуждение

Комментариев пока нет. Языки: ru + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!