📚 phpMyAdmin bis 4.6.3/4.4.15.7/4.0.10.16 User Interface Preference SQL Injection
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In phpMyAdmin bis 4.6.3/4.4.15.7/4.0.10.16 wurde eine kritische Schwachstelle entdeckt. Das betrifft eine unbekannte Funktion der Komponente User Interface Preference. Dank Manipulation mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
An issue was discovered in phpMyAdmin. In the user interface preference feature, a user can execute an SQL injection attack against the account of the control user. All 4.6.x versions (prior to 4.6.4), 4.4.x versions (prior to 4.4.15.8), and 4.0.x versions (prior to 4.0.10.17) are affected.
Die Schwachstelle wurde am 11.12.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2016-6619 geführt. Der Angriff kann über das Netzwerk angegangen werden. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird.
Ein Aktualisieren auf die Version 4.6.4, 4.4.15.8 oder 4.0.10.17 vermag dieses Problem zu lösen.
Von weiterem Interesse können die folgenden Einträge sein: 94047, 94048, 94049 und 94050.
CVSSv3
Base Score: ≈6.3 [?]Temp Score: ≈6.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: ≈5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
- cpe:/a:phpmyadmin:phpmyadmin:4.6.3
- cpe:/a:phpmyadmin:phpmyadmin:4.4.15.7
- cpe:/a:phpmyadmin:phpmyadmin:4.0.10.16
Exploiting
Klasse: SQL InjectionLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: phpMyAdmin 4.6.4/4.4.15.8/4.0.10.17
Timeline
11.12.2016 Advisory veröffentlicht11.12.2016 VulDB Eintrag erstellt
11.12.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-6619 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 94047, 94048, 94049, 94050, 94052, 94053, 94054, 94055
Eintrag
Erstellt: 11.12.2016Eintrag: 66% komplett
...