2020-2366: phpMyAdmin: Mehrere Schwachstellen ermöglichen u. a. einen SQL-Injection-Angriff

Historie:

Version 1 (2020-11-02 12:24)

Neues Advisory

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Cross-Site-Scripting (XSS)-Angriff und einen SQL-Injection-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die Ausnutzung der schwerwiegendsten Schwachstelle CVE-2020-26935 erfordert keine besonderen Privilegien. Alle anderen Schwachstellen erfordern zudem die Interaktion eines Benutzers.

Für openSUSE Backports SLE 15 und 15 SP1 sowie openSUSE Leap 15.1 stehen Sicherheitsupdates bereit, mit denen phpMyAdmin auf Version 4.9.7 aktualisiert wird.

Schwachstellen:

CVE-2020-10802

Schwachstelle in phpMyAdmin ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-10803

Schwachstelle in phpMyAdmin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-10804

Schwachstelle in phpMyAdmin ermöglicht Privilegieneskalation

CVE-2020-26934

Schwachstelle in phpMyAdmin ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-26935

Schwachstelle in phpMyAdmin ermöglicht SQL-Injection-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.