Vulnérabilités dans phpMyAdmin

Date de publication :

Plusieurs vulnérabilités ont été découvertes dans phpMyAdmin. Elles peuvent permettre à un attaquant de provoquer une injection SQL ou une attaque de type “cross-site scripting” (XSS).

CVE-2020-26934 [Score CVSS v3 : 6.1] : Une vulnérabilité a été découverte dans la fonctionnalité de transformation de phpMyAdmin. Un attaquant peut effectuer une attaque XSS via un lien spécialement conçu.

CVE-2020-26935 [Score CVSS v3 : 9.8] : Une vulnérabilité pouvant conduire à une injection SQL a été découverte dans la fonctionnalité SearchController de phpMyAdmin. Elle est due à un défaut de traitement de requêtes SQL dans la fonction de recherche.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Injection SQL
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 9.8 max

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

  • phpMyAdmin versions antérieures à la 4.9.6 et 5.0.3

CVE

  • CVE-2020-26934
  • CVE-2020-26935

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour phpMyAdmin vers des versions non vulnérables

Solution de contournement

  • Aucune solution de contournement

Liens