GHSA-6hr3-44gx-g6wh

Опубликовано: 13 фев. 2023

Источник: github

Github: Прошло ревью

CVSS3: 5.4

Описание

Cross-site Scripting vulnerability in drag-and-drop upload of phpMyAdmin

In phpMyAdmin before 4.9.11 and 5.x before 5.2.1, an authenticated user can trigger Cross-site Scripting (XSS) by uploading a crafted .sql file through the drag-and-drop interface. By disabling the configuration directive $cfg['enable_drag_drop_import'], users will be unable to use the drag and drop upload which would protect against the vulnerability.

Ссылки

Пакеты

Наименование

phpmyadmin/phpmyadmin

composer

Затронутые версииВерсия исправления

>= 4.3.0, < 4.9.11

4.9.11

Наименование

phpmyadmin/phpmyadmin

composer

Затронутые версииВерсия исправления

>= 5.0, < 5.2.1

5.2.1

EPSS

Процентиль: 92%

0.08796

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2023-25727

Дефекты

CWE-79

Связанные уязвимости

CVE-2023-25727

CVSS3: 5.4

ubuntu

больше 2 лет назад

In phpMyAdmin before 4.9.11 and 5.x before 5.2.1, an authenticated user can trigger XSS by uploading a crafted .sql file through the drag-and-drop interface.

CVE-2023-25727

CVSS3: 5.4

nvd

больше 2 лет назад

In phpMyAdmin before 4.9.11 and 5.x before 5.2.1, an authenticated user can trigger XSS by uploading a crafted .sql file through the drag-and-drop interface.

CVE-2023-25727

CVSS3: 5.4

debian

больше 2 лет назад

In phpMyAdmin before 4.9.11 and 5.x before 5.2.1, an authenticated use ...

BDU:2023-07577

CVSS3: 5.4

fstec

больше 2 лет назад

Уязвимость веб-приложения для администрирования cистем управления базами данных phpMyAdmin, существующая из-за непринятия мер по защите структуры веб-страницы, позволяющая нарушителю провести атаку межсайтового скриптинга (XSS)

openSUSE-SU-2023:0154-1

suse-cvrf

почти 2 года назад

Security update for phpMyAdmin

EPSS

Процентиль: 92%

0.08796

Низкий

5.4 Medium

CVSS3

CVE ID

CVE-2023-25727

Дефекты

CWE-79