Vulnérabilités dans phpMyAdmin
Date de publication :
De multiples vulnérabilités de type injection SQL ont été découvertes dans phpMyAdmin, interface web d’administration de bases de données. Un attaquant distant disposant d’un accès limité à l’interface peut, en exploitant ces vulnérabilités, effectuer des opérations non-autorisées sur la base de données.
CVE-2020-10802 [Score CVSS v3 : 8.0] : Une vulnérabilité de type injection SQL a été découverte dans phpMyAdmin. Un attaquant distant peut effectuer des opérations SQL non-autorisées en effectuant certaines opérations de recherches avec des paramètres spécialement conçus.
CVE-2020-10804 [Score CVSS v3 : 8.0] : Une vulnérabilité de type injection SQL a été découverte dans phpMyAdmin. Un attaquant distant peut effectuer des opérations SQL non-autorisées en manipulant son nom d’utilisateur d’une façon particulière, pouvant mener d’autres utilisateurs à effectuer inopinément des actions avec leur propre compte (e.g. changement de permissions).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Perte de confidentialité et d’intégrité des données
- Modification d’autorisations
Criticité
- Score CVSS v3 : 8.0
Existence d’un code d’exploitation
- Pas de code d’exploitation disponible publiquement pour l’instant
Composants vulnérables
- phpMyAdmin 4.0 avant la version 4.9.5
- phpMyAdmin 5.0 avant la version 5.0.2
CVE
- CVE-2020-10802
- CVE-2020-10804
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour phpMyAdmin vers une version non-vulnérable (4.9.5 ou 5.02 selon la version majeure utilisée)
Solution de contournement
Aucune solution de contournement n’est disponible