CVSS: 7.5EPSS: 91%CPEs: 1EXPL: 1CVE-2012-5159 – phpMyAdmin 3.5.2.2 - 'server_sync.php' Backdoor
https://notcve.org/view.php?id=CVE-2012-5159
phpMyAdmin 3.5.2.2, as distributed by the cdnetworks-kr-1 mirror during an unspecified time frame in 2012, contains an externally introduced modification (Trojan Horse) in server_sync.php, which allows remote attackers to execute arbitrary PHP code via an eval injection attack. phpMyAdmin v3.5.2.2, tal y como se distribuyó en el 'mirror' CDNetworks-kr-1 durante un período de tiempo indeterminado en el año 2012, contiene una modificación introducida externamente (Un troyano) en server_sync.php, lo que permite a atacantes remotos ejecutar código PHP de su elección a través de un ataque de inyección eval. • https://www.exploit-db.com/exploits/21834 http://seclists.org/oss-sec/2012/q3/562 http://sourceforge.net/blog/phpmyadmin-back-door http://www.phpmyadmin.net/home_page/security/PMASA-2012-5.php http://www.securityfocus.com/bid/55672 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 3.5EPSS: 0%CPEs: 4EXPL: 0CVE-2012-4579
https://notcve.org/view.php?id=CVE-2012-4579
Multiple cross-site scripting (XSS) vulnerabilities in phpMyAdmin 3.5.x before 3.5.2.2 allow remote authenticated users to inject arbitrary web script or HTML via a Table Operations (1) TRUNCATE or (2) DROP link for a crafted table name, (3) the Add Trigger popup within a Triggers page that references crafted table names, (4) an invalid trigger-creation attempt for a crafted table name, (5) crafted data in a table, or (6) a crafted tooltip label name during GIS data visualization, a different issue than CVE-2012-4345. Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en phpMyAdmin v3.5.x anterior a v3.5.2.2 permite a usuarios remotos autenticados inyectar código arbitrario web o HTML a través de una (Operations Table) (1) (TRUNCATE) o (2) (DROP link) para un nombre de tabla manipulado, (3) la ventaja emergente Add Trigger con una página Triggers que referencia a nombres de tabla manipulados, (4) un intento no válido de creación para una nombre de tabla manipulado, (5) datos manipulados en una tabla, o (6) un nombre de una etiqueta (tooltip) durante la visualización de datos GIS, un problema distinto de CVE-2012-4345. • http://www.phpmyadmin.net/home_page/security/PMASA-2012-4.php • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 3EXPL: 1CVE-2012-4219
https://notcve.org/view.php?id=CVE-2012-4219
show_config_errors.php in phpMyAdmin 3.5.x before 3.5.2.1 allows remote attackers to obtain sensitive information via a direct request, which reveals the installation path in an error message, related to lack of inclusion of the common.inc.php library file. show_config_errors.php en phpMyAdmin v3.5.x anterior a v3.5.2.1 permite a atacantes remotos obtener información sensible a través de una solicitud directa, la cual revela la ruta de instalación en un mensaje de error, relacionada con la no inclusión del fichero de librería common.inc.php. • http://www.phpmyadmin.net/home_page/security/PMASA-2012-3.php https://github.com/phpmyadmin/phpmyadmin/commit/0f0c2f1e2b3ece41cc1bb99a9931c8fcc7c917bc https://hermes.opensuse.org/messages/15513071 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 3.5EPSS: 0%CPEs: 21EXPL: 0CVE-2012-4345
https://notcve.org/view.php?id=CVE-2012-4345
Multiple cross-site scripting (XSS) vulnerabilities in the Database Structure page in phpMyAdmin 3.4.x before 3.4.11.1 and 3.5.x before 3.5.2.2 allow remote authenticated users to inject arbitrary web script or HTML via (1) a crafted table name during table creation, or a (2) Empty link or (3) Drop link for a crafted table name. Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en la página de (Database Structure) de datos en phpMyAdmin v3.4.x anterior a v3.4.11.1 y v3.5.x anterior a v3.5.2.2 permite a usuarios remotos autenticados inyectar código arbitrario web o HTML a través de (1) un nombre de tabla manipulado durante la creación de una tabla, o un (2) enlace vacío o (3) (Dropt link) para un nombre de tabla manipulado. • http://www.mandriva.com/security/advisories?name=MDVSA-2012:136 http://www.phpmyadmin.net/home_page/security/PMASA-2012-4.php https://hermes.opensuse.org/messages/15513071 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 15EXPL: 0CVE-2012-1902
https://notcve.org/view.php?id=CVE-2012-1902
show_config_errors.php in phpMyAdmin 3.4.x before 3.4.10.2, when a configuration file does not exist, allows remote attackers to obtain sensitive information via a direct request, which reveals the installation path in an error message about this missing file. show_config_errors.php en phpMyAdmin v3.4.x y anterior a v3.4.10.2, cuando un archivo de configuración no existe, permite a atacantes remotos obtener información sensible a través de una solicitud directa, lo cual revela la ruta de instalación en un mensaje de error acerca de este archivo que falta. • http://lists.fedoraproject.org/pipermail/package-announce/2012-May/079435.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/079475.html http://lists.fedoraproject.org/pipermail/package-announce/2012-May/079566.html http://www.mandriva.com/security/advisories?name=MDVSA-2012:050 http://www.phpmyadmin.net/home_page/security/PMASA-2012-2.php http://www.securityfocus.com/bid/52858 https://exchange.xforce.ibmcloud.com/vulnerabilities/74608 https://github.com/phpmyadmin/phpmyadmin/commit • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •