Vulnérabilités dans phpMyAdmin

De multiples vulnérabilités de type injection SQL ont été découvertes dans phpMyAdmin, interface web d’administration de bases de données. Un attaquant distant disposant d’un accès limité à l’interface peut, en exploitant ces vulnérabilités, effectuer des opérations non-autorisées sur la base de données.

CVE-2020-10802 [Score CVSS v3 : 8.0] : Une vulnérabilité de type injection SQL a été découverte dans phpMyAdmin. Un attaquant distant peut effectuer des opérations SQL non-autorisées en effectuant certaines opérations de recherches avec des paramètres spécialement conçus.

CVE-2020-10804 [Score CVSS v3 : 8.0] : Une vulnérabilité de type injection SQL a été découverte dans phpMyAdmin. Un attaquant distant peut effectuer des opérations SQL non-autorisées en manipulant son nom d’utilisateur d’une façon particulière, pouvant mener d’autres utilisateurs à effectuer inopinément des actions avec leur propre compte (e.g. changement de permissions).

Informations
+

Risques

  • Perte de confidentialité et d’intégrité des données

  • Modification d’autorisations

Criticité

  • Score CVSS v3 : 8.0

Existence d’un code d’exploitation

  • Pas de code d’exploitation disponible publiquement pour l’instant

Composants vulnérables

  • phpMyAdmin 4.0 avant la version 4.9.5

  • phpMyAdmin 5.0 avant la version 5.0.2

CVE

  • CVE-2020-10802

  • CVE-2020-10804


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour phpMyAdmin vers une version non-vulnérable (4.9.5 ou 5.02 selon la version majeure utilisée)

Solution de contournement

  • Aucune solution de contournement n’est disponible