Présence d'une vulnérabilité sur PhpMyAdmin

Une vulnérabilité a été découverte dans phpMyAdmin. Elle permet à un attaquant de provoquer une injection de code indirecte à distance (XSS) au sein de la fonction d'import de fichiers lorsqu'un attaquant parvient à téléverser un fichier spécialement conçu pour déclencher l'injection. L'exploitation réussie de la vulnérabilité pourrait ainsi permettre à un attaquant de récupérer les jetons de session d'un utilisateur légitime de l'application ou de rediriger ce dernier vers des sites spécifiques en vue de déclencher une autre vulnérabilité, d'infecter son poste ou de mener des attaques d'hameçonnage. 

Informations
+

Risque

  • Injection de code indirecte à distance (XSS)

Criticité

  • CVSS v3 : Le score CVSS n'est pas encore connu. La vulnérabilité est cependant considérée comme étant de criticité modérée. 

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • phpMyAdmin versions antérieures à 4.8.3

CVE

  • CVE-2018-15605

Recommandations
+

Correctifs

  • Un correctif de sécurité a été publié. La vulnérabilité est corrigée à partir de la version 4.8.3.

Solution de contournement

  • En cas d'impossibilité de mettre à jour phpMyAdmin, il est possible d'appliquer le correctif suivant.