2020-2220: phpMyAdmin: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebiger SQL-Anweisungen

Historie:

Version 1 (2020-10-12 19:44)

Neues Advisory

Version 2 (2020-10-19 10:04)

Für openSUSE Leap 15.1 und 15.2 sowie openSUSE Backports SLE 15 SP1 und 15 SP2 stehen Sicherheitsupdates für 'phpMyAdmin' auf Version 4.9.6 bereit, um die beiden Schwachstellen zu beheben.

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Es existieren zwei Schwachstellen in phpMyAdmin. Eine Schwachstelle ermöglicht einem entfernten Angreifer einen SQL-Injection-Angriff. Eine weitere Schwachstelle ermöglicht einem entfernten Angreifer einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Ein erfolgreicher Angriff erfordert dabei die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt phpMyAdmin 4.9.6 und 5.0.3 als Sicherheitsupdates bereit.

Für Fedora 31 und 32 stehen Sicherheitsupdates in Form von 'phpMyAdmin-5.0.3-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2020-26934

Schwachstelle in phpMyAdmin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-26935

Schwachstelle in phpMyAdmin ermöglicht SQL-Injection-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.