phpMyAdmin PMA_escapeJsString()跨站脚本漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1185108 漏洞类型 跨站脚本
发布时间 2008-09-23 更新时间 2009-02-02
CVE编号 CVE-2008-4326 CNNVD-ID CNNVD-200809-416
漏洞平台 N/A CVSS评分 4.3
|漏洞来源
https://www.securityfocus.com/bid/31327
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200809-416
|漏洞详情
phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。phpMyAdmin的libraries/js_escape.lib.php文件中的PMA_escapeJsString()函数存在跨站脚本漏洞。如果用户受骗访问了恶意网页的话,远程攻击者就可以绕过某些过滤器,在用户浏览器会话中执行任意HTML和脚本代码。
|受影响的产品
Typo3 phpMyAdmin 3.3 Typo3 phpMyAdmin 3.2 Typo3 phpMyAdmin 3.0.1 Typo3 phpMyAdmin 3.0 Turbolinux Appliance Server 3.0 x64 Turbolinux Appliance Server 3.0
|参考资料

来源:www.phpmyadmin.net
链接:http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2008-8
来源:www.phpmyadmin.net
链接:http://www.phpmyadmin.net/home_page/downloads.php?relnotes=1
来源:MLIST
名称:[oss-security]20080923CVEreq:phpmyadmin<2.11.9.2xss
链接:http://www.openwall.com/lists/oss-security/2008/09/22/2
来源:VUPEN
名称:ADV-2008-2657
链接:http://www.frsirt.com/english/advisories/2008/2657
来源:DEBIAN
名称:DSA-1675
链接:http://www.debian.org/security/2008/dsa-1675
来源:typo3.org
链接:http://typo3.org/teams/security/security-bulletins/typo3-20080924-1/
来源:SECUNIA
名称:33822
链接:http://secunia.com/advisories/33822
来源:SECUNIA
名称:32954
链接:http://secunia.com/advisories/32954
来源:SECUNIA
名称:31992
链接:http://secunia.com/advisories/31992
来源:SECUNIA
名称:31974
链接:http://secunia.com/advisories/31974
来源:phpmyadmin.svn.sourceforge.net
链接:http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin/branches/QA_2_11/phpMyAdmin/libraries/js_escape.lib.php?view=log&pathrev=11603
来源:phpmyadmin.svn.sourceforge.net
链接:http://phpmyadmin