CVE-2013-4995
https://notcve.org/view.php?id=CVE-2013-4995
Cross-site scripting (XSS) vulnerability in phpMyAdmin 3.5.x before 3.5.8.2 and 4.0.x before 4.0.4.2 allows remote authenticated users to inject arbitrary web script or HTML via a crafted SQL query that is not properly handled during the display of row information. Vulnerabilidad XSS en phpMyAdmin 3.5.x anterior a 3.5.8.2 y 4.0.x anterior a 4.0.4.2, permite a usuarios autenticados remotamente inyectar secuencias de comandos web o HTML arbitrarias a través de una petición SQL que no está manejada adecuadamente cuando se muestra la información de la fila. • http://secunia.com/advisories/59832 http://www.phpmyadmin.net/home_page/security/PMASA-2013-8.php http://www.securityfocus.com/bid/61510 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2013-4729
https://notcve.org/view.php?id=CVE-2013-4729
import.php in phpMyAdmin 4.x before 4.0.4.1 does not properly restrict the ability of input data to specify a file format, which allows remote authenticated users to modify the GLOBALS superglobal array, and consequently change the configuration, via a crafted request. import.php en phpMyAdmin v4.x anterior a v4.0.4.1 no restringe correctamente la capacidad de la entrada de datos a un formato de fichero específico, lo que permite a usuarios remotamente autenticados modificar el array global GLOBALS, y consecuentemente a través de peticiones malformadas. • http://www.phpmyadmin.net/home_page/security/PMASA-2013-7.php https://github.com/phpmyadmin/phpmyadmin/commit/012464268420e53a9cd81cbb4a43988d70393c36 • CWE-264: Permissions, Privileges, and Access Controls •
CVE-2013-3742
https://notcve.org/view.php?id=CVE-2013-3742
Cross-site scripting (XSS) vulnerability in view_create.php (aka the Create View page) in phpMyAdmin 4.x before 4.0.3 allows remote authenticated users to inject arbitrary web script or HTML via an invalid SQL CREATE VIEW statement with a crafted name that triggers an error message. Vulnerabilidad de ejecuciónd de secuencias de comandos en sitios cruzados (XSS) en view_create.php (también conocido como la página Create View) en phpMyAdmin v4.x antes de v4.0.3 permite a usuarios remotos autenticados inyectar secuencias de comandos Web o HTML a través de estados SQL CREATE VIEW inválidos con nombre manipulados que dispara mensajes de error. • http://www.phpmyadmin.net/home_page/security/PMASA-2013-6.php https://github.com/phpmyadmin/phpmyadmin/commit/9b3551601ce714adb5e3f428476052f0ec6093bf • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2013-3240 – phpMyAdmin 3.5.8/4.0.0-RC2 - Multiple Vulnerabilities
https://notcve.org/view.php?id=CVE-2013-3240
Directory traversal vulnerability in the Export feature in phpMyAdmin 4.x before 4.0.0-rc3 allows remote authenticated users to read arbitrary files or possibly have unspecified other impact via a parameter that specifies a crafted export type. Vulnerabilidad de salto de directorio en la función de exportación en phpMyAdmin v4.x antes de v4.0.0-RC3 que permite a usuarios remotos autenticados leer archivos arbitrarios o posiblemente tener un impacto no especificado a través de un parámetro que especifica un tipo de exportación elaborado. phpMyAdmin versions 3.5.8 and 4.0.0-RC2 suffer from multiple remote code execution, local file inclusion, and array overwrite vulnerabilities. • https://www.exploit-db.com/exploits/25003 http://archives.neohapsis.com/archives/bugtraq/2013-04/0217.html http://www.phpmyadmin.net/home_page/security/PMASA-2013-4.php • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2013-3241 – phpMyAdmin 3.5.8/4.0.0-RC2 - Multiple Vulnerabilities
https://notcve.org/view.php?id=CVE-2013-3241
export.php (aka the export script) in phpMyAdmin 4.x before 4.0.0-rc3 overwrites global variables on the basis of the contents of the POST superglobal array, which allows remote authenticated users to inject values via a crafted request. export.php (también conocido como script de exportación) en phpMyAdmin v4.x antes de v4.0.0-RC3 sobrescribe las variables globales sobre la base del contenido de la matriz superglobal POST, lo que permite a usuarios remotos autenticados inyectar valores a través de una solicitud manipulada. phpMyAdmin versions 3.5.8 and 4.0.0-RC2 suffer from multiple remote code execution, local file inclusion, and array overwrite vulnerabilities. • https://www.exploit-db.com/exploits/25003 http://archives.neohapsis.com/archives/bugtraq/2013-04/0217.html http://www.phpmyadmin.net/home_page/security/PMASA-2013-5.php •