Cross-Site Scripting gegen phpMyAdmin möglich

Über eine Sicherheitslücke in den aktuellen Versionen von phpMyAdmin können Angreifer beliebigen HTML- und Scriptcode einspeisen. Ein Patch liegt vor.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in allen aktuellen Versionen von phpMyAdmin vor Version 2.11.7 auf. Die Sicherheitslücke wird nicht im Detail beschrieben, sie soll jedoch durch die mangelhafte Überprüfung von Parametern entstehen, die an verschiedene Dateien im „/libraries“-Ordner übergeben werden. Durch gezielte Manipulation dieser Parameter können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer Anwender einspeisen. Die neueste Version 2.11.7 von phpMyAdmin beseitigt diesen Mangel. (vgw)