CVE-2013-5000
https://notcve.org/view.php?id=CVE-2013-5000
phpMyAdmin 3.5.x before 3.5.8.2 allows remote attackers to obtain sensitive information via an invalid request, which reveals the installation path in an error message, related to config.default.php and other files. phpMyAdmin 3.5.x anterior a 3.5.8.2, permite a a atacantes remotos obtener información sensible a través de una petición inválida, que muestra la ruta de instalación en un mensaje de error. Relacionado con config.default.php y otros archivos. • http://www.phpmyadmin.net/home_page/security/PMASA-2013-12.php • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2013-5003
https://notcve.org/view.php?id=CVE-2013-5003
Multiple SQL injection vulnerabilities in phpMyAdmin 3.5.x before 3.5.8.2 and 4.0.x before 4.0.4.2 allow remote authenticated users to execute arbitrary SQL commands via (1) the scale parameter to pmd_pdf.php or (2) the pdf_page_number parameter to schema_export.php. Múltiples vulnerabilidades de inyección SQL en phpMyAdmin 3.5.x anterior a 3.5.8.2 y 4.0.x anterior a 4.0.4.2, permite a usuarios autenticados remotamente ejecutar comandos SQL arbitrarios a través de (1)el parámetro "scale" a pmd_pdf.php o (2) el parámetro pdf_page_number a schema_export.php. • http://secunia.com/advisories/59832 http://www.phpmyadmin.net/home_page/security/PMASA-2013-15.php http://www.securityfocus.com/bid/61923 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2013-4995
https://notcve.org/view.php?id=CVE-2013-4995
Cross-site scripting (XSS) vulnerability in phpMyAdmin 3.5.x before 3.5.8.2 and 4.0.x before 4.0.4.2 allows remote authenticated users to inject arbitrary web script or HTML via a crafted SQL query that is not properly handled during the display of row information. Vulnerabilidad XSS en phpMyAdmin 3.5.x anterior a 3.5.8.2 y 4.0.x anterior a 4.0.4.2, permite a usuarios autenticados remotamente inyectar secuencias de comandos web o HTML arbitrarias a través de una petición SQL que no está manejada adecuadamente cuando se muestra la información de la fila. • http://secunia.com/advisories/59832 http://www.phpmyadmin.net/home_page/security/PMASA-2013-8.php http://www.securityfocus.com/bid/61510 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2013-4729
https://notcve.org/view.php?id=CVE-2013-4729
import.php in phpMyAdmin 4.x before 4.0.4.1 does not properly restrict the ability of input data to specify a file format, which allows remote authenticated users to modify the GLOBALS superglobal array, and consequently change the configuration, via a crafted request. import.php en phpMyAdmin v4.x anterior a v4.0.4.1 no restringe correctamente la capacidad de la entrada de datos a un formato de fichero específico, lo que permite a usuarios remotamente autenticados modificar el array global GLOBALS, y consecuentemente a través de peticiones malformadas. • http://www.phpmyadmin.net/home_page/security/PMASA-2013-7.php https://github.com/phpmyadmin/phpmyadmin/commit/012464268420e53a9cd81cbb4a43988d70393c36 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2013-3742
https://notcve.org/view.php?id=CVE-2013-3742
Cross-site scripting (XSS) vulnerability in view_create.php (aka the Create View page) in phpMyAdmin 4.x before 4.0.3 allows remote authenticated users to inject arbitrary web script or HTML via an invalid SQL CREATE VIEW statement with a crafted name that triggers an error message. Vulnerabilidad de ejecuciónd de secuencias de comandos en sitios cruzados (XSS) en view_create.php (también conocido como la página Create View) en phpMyAdmin v4.x antes de v4.0.3 permite a usuarios remotos autenticados inyectar secuencias de comandos Web o HTML a través de estados SQL CREATE VIEW inválidos con nombre manipulados que dispara mensajes de error. • http://www.phpmyadmin.net/home_page/security/PMASA-2013-6.php https://github.com/phpmyadmin/phpmyadmin/commit/9b3551601ce714adb5e3f428476052f0ec6093bf • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •