CVE-2012-5339
https://notcve.org/view.php?id=CVE-2012-5339
Multiple cross-site scripting (XSS) vulnerabilities in phpMyAdmin 3.5.x before 3.5.3 allow remote authenticated users to inject arbitrary web script or HTML via a crafted name of (1) an event, (2) a procedure, or (3) a trigger. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en phpMyAdmin v3.5.x antes de v3.5.3, permiten a usuarios remotos autenticados, ejecutar secuencias de comandos web o HTML de su elección a través de un nombre manipulado en (1) un evento, (2) un procedimiento o (3) un disparador. • http://lists.opensuse.org/opensuse-updates/2012-11/msg00033.html http://www.phpmyadmin.net/home_page/security/PMASA-2012-6.php http://www.securityfocus.com/bid/55925 https://github.com/phpmyadmin/phpmyadmin/commit/6ea8fad3f999bfdf79eb6fe31309592bca54d611 https://github.com/phpmyadmin/phpmyadmin/commit/cfd688d2512df9827a8ecc0412fc264fc5bcb186 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2012-5159 – phpMyAdmin 3.5.2.2 - 'server_sync.php' Backdoor
https://notcve.org/view.php?id=CVE-2012-5159
phpMyAdmin 3.5.2.2, as distributed by the cdnetworks-kr-1 mirror during an unspecified time frame in 2012, contains an externally introduced modification (Trojan Horse) in server_sync.php, which allows remote attackers to execute arbitrary PHP code via an eval injection attack. phpMyAdmin v3.5.2.2, tal y como se distribuyó en el 'mirror' CDNetworks-kr-1 durante un período de tiempo indeterminado en el año 2012, contiene una modificación introducida externamente (Un troyano) en server_sync.php, lo que permite a atacantes remotos ejecutar código PHP de su elección a través de un ataque de inyección eval. • https://www.exploit-db.com/exploits/21834 http://seclists.org/oss-sec/2012/q3/562 http://sourceforge.net/blog/phpmyadmin-back-door http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php http://www.securityfocus.com/bid/55672 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2012-4579
https://notcve.org/view.php?id=CVE-2012-4579
Multiple cross-site scripting (XSS) vulnerabilities in phpMyAdmin 3.5.x before 3.5.2.2 allow remote authenticated users to inject arbitrary web script or HTML via a Table Operations (1) TRUNCATE or (2) DROP link for a crafted table name, (3) the Add Trigger popup within a Triggers page that references crafted table names, (4) an invalid trigger-creation attempt for a crafted table name, (5) crafted data in a table, or (6) a crafted tooltip label name during GIS data visualization, a different issue than CVE-2012-4345. Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en phpMyAdmin v3.5.x anterior a v3.5.2.2 permite a usuarios remotos autenticados inyectar código arbitrario web o HTML a través de una (Operations Table) (1) (TRUNCATE) o (2) (DROP link) para un nombre de tabla manipulado, (3) la ventaja emergente Add Trigger con una página Triggers que referencia a nombres de tabla manipulados, (4) un intento no válido de creación para una nombre de tabla manipulado, (5) datos manipulados en una tabla, o (6) un nombre de una etiqueta (tooltip) durante la visualización de datos GIS, un problema distinto de CVE-2012-4345. • http://www.phpmyadmin.net/home_page/security/PMASA-2012-4.php • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2012-4219
https://notcve.org/view.php?id=CVE-2012-4219
show_config_errors.php in phpMyAdmin 3.5.x before 3.5.2.1 allows remote attackers to obtain sensitive information via a direct request, which reveals the installation path in an error message, related to lack of inclusion of the common.inc.php library file. show_config_errors.php en phpMyAdmin v3.5.x anterior a v3.5.2.1 permite a atacantes remotos obtener información sensible a través de una solicitud directa, la cual revela la ruta de instalación en un mensaje de error, relacionada con la no inclusión del fichero de librería common.inc.php. • http://www.phpmyadmin.net/home_page/security/PMASA-2012-3.php https://github.com/phpmyadmin/phpmyadmin/commit/0f0c2f1e2b3ece41cc1bb99a9931c8fcc7c917bc https://hermes.opensuse.org/messages/15513071 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2012-4345
https://notcve.org/view.php?id=CVE-2012-4345
Multiple cross-site scripting (XSS) vulnerabilities in the Database Structure page in phpMyAdmin 3.4.x before 3.4.11.1 and 3.5.x before 3.5.2.2 allow remote authenticated users to inject arbitrary web script or HTML via (1) a crafted table name during table creation, or a (2) Empty link or (3) Drop link for a crafted table name. Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en la página de (Database Structure) de datos en phpMyAdmin v3.4.x anterior a v3.4.11.1 y v3.5.x anterior a v3.5.2.2 permite a usuarios remotos autenticados inyectar código arbitrario web o HTML a través de (1) un nombre de tabla manipulado durante la creación de una tabla, o un (2) enlace vacío o (3) (Dropt link) para un nombre de tabla manipulado. • http://www.mandriva.com/security/advisories?name=MDVSA-2012:136 http://www.phpmyadmin.net/home_page/security/PMASA-2012-4.php https://hermes.opensuse.org/messages/15513071 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •