phpMyAdmin прикрывает XSS уязвимости

Картинка: 

Разработчики phpMyAdmin объявили о выпуске версии 3.4.4 и 3.3.10.4 для их продукции с открытым исходным кодом, предназначенной для администрирования баз данных.

Как следует из описания, эти обновления закрывают уязвимости (CVE-2011-3181), существовавшые в функции отслеживания (Tracking feature). Она давала потенциальному злоумышленнику возможность выполнить произвольный HTML код и код сценария в браузере жертвы в конектсте безопасности уязвимого сайта.

Брешь в безопасности обнаружил исследователь Норман Хипперт (Norman Hippert). Согласно его заявлению, уязвимость существовала из-за неправильной обработки входных данных, передаваемых в качестве имен таблиц, колонок и индексов. Также исследователь добавил, что для того чтобы атака была успешной злоумышленник должен быть авторизован в приложении. Уязвимость существует в phpMyAdmin от версии 3.3.0 до 3.4.3.2. Разработчики признали серьезность проблемы и уже выпустили исправление безопасности в версии 3.4.4 и 3.3.10.4, в качестве альтернативы пользователи могут использовать патчи.

© securitylab.ru