Vulnérabilités dans phpMyAdmin

Date de publication :

De multiples vulnérabilités de type injection SQL ont été découvertes dans phpMyAdmin, interface web d’administration de bases de données. Un attaquant distant disposant d’un accès limité à l’interface peut, en exploitant ces vulnérabilités, effectuer des opérations non-autorisées sur la base de données.

CVE-2020-10802 [Score CVSS v3 : 8.0] : Une vulnérabilité de type injection SQL a été découverte dans phpMyAdmin. Un attaquant distant peut effectuer des opérations SQL non-autorisées en effectuant certaines opérations de recherches avec des paramètres spécialement conçus.

CVE-2020-10804 [Score CVSS v3 : 8.0] : Une vulnérabilité de type injection SQL a été découverte dans phpMyAdmin. Un attaquant distant peut effectuer des opérations SQL non-autorisées en manipulant son nom d’utilisateur d’une façon particulière, pouvant mener d’autres utilisateurs à effectuer inopinément des actions avec leur propre compte (e.g. changement de permissions).

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Perte de confidentialité et d’intégrité des données

    Modification d’autorisations

Criticité

    Score CVSS v3 : 8.0

Existence d’un code d’exploitation

    Pas de code d’exploitation disponible publiquement pour l’instant

Composants vulnérables

    phpMyAdmin 4.0 avant la version 4.9.5

    phpMyAdmin 5.0 avant la version 5.0.2

CVE

    CVE-2020-10802

    CVE-2020-10804

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour phpMyAdmin vers une version non-vulnérable (4.9.5 ou 5.02 selon la version majeure utilisée)

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens