CVE-2023-40619
https://notcve.org/view.php?id=CVE-2023-40619
phpPgAdmin 7.14.4 and earlier is vulnerable to deserialization of untrusted data which may lead to remote code execution because user-controlled data is directly passed to the PHP 'unserialize()' function in multiple places. An example is the functionality to manage tables in 'tables.php' where the 'ma[]' POST parameter is deserialized. phpPgAdmin 7.14.4 y versiones anteriores son vulnerables a la sanitización de datos que no son de confianza, lo que puede provocar la ejecución remota de código porque los datos controlados por el usuario se pasan directamente a la función PHP 'unserialize()' en varios lugares. Un ejemplo es la funcionalidad para administrar tablas en 'tables.php' donde se deserializa el parámetro POST 'ma[]'. • https://github.com/dub-flow/vulnerability-research/tree/main/CVE-2023-40619 https://lists.debian.org/debian-lts-announce/2023/11/msg00000.html • CWE-502: Deserialization of Untrusted Data •
CVE-2019-10784
https://notcve.org/view.php?id=CVE-2019-10784
phppgadmin through 7.12.1 allows sensitive actions to be performed without validating that the request originated from the application. One such area, "database.php" does not verify the source of an HTTP request. This can be leveraged by a remote attacker to trick a logged-in administrator to visit a malicious page with a CSRF exploit and execute arbitrary system commands on the server. phppgadmin versiones hasta 7.12.1, permite que acciones confidenciales sean llevadas a cabo sin comprobar que la petición se originó en la aplicación. Una de esas áreas, "database.php" no comprueba el origen de una petición HTTP. Esto puede ser aprovechado por un atacante remoto para engañar a un administrador registrado para que visite una página maliciosa con un explotación de tipo CSRF y ejecute comandos arbitrarios de sistema sobre el servidor. • https://snyk.io/vuln/SNYK-PHP-PHPPGADMINPHPPGADMIN-543885 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2012-1600
https://notcve.org/view.php?id=CVE-2012-1600
Multiple cross-site scripting (XSS) vulnerabilities in functions.php in phpPgAdmin before 5.0.4 allow remote attackers to inject arbitrary web script or HTML via the (1) name or (2) type of a function. Múltiples vulnerabilidades de XSS en functions.php en phpPgAdmin anterior a 5.0.4 permiten a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del (1) nombre o (2) tipo de una función. • http://lists.opensuse.org/opensuse-updates/2012-04/msg00033.html http://secunia.com/advisories/48574 http://sourceforge.net/p/phppgadmin/mailman/message/28783470 http://www.openwall.com/lists/oss-security/2012/03/28/11 http://www.openwall.com/lists/oss-security/2012/03/29/6 http://www.openwall.com/lists/oss-security/2012/03/30/7 http://www.osvdb.org/80870 http://www.postgresql.org/message-id/4F6B447C.6080204%40dalibo.com http://www.securityfocus.com/bid/52761 https • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2011-3598
https://notcve.org/view.php?id=CVE-2011-3598
Multiple cross-site scripting (XSS) vulnerabilities in phpPgAdmin before 5.0.3 allow remote attackers to inject arbitrary web script or HTML via (1) a web page title, related to classes/Misc.php; or the (2) return_url or (3) return_desc parameter to display.php. Múltiples vulnerabilidades de ejecución de secuencias de comandos en sitios cruzados (XSS) en phpPgAdmin anteriores a v5.0.3, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de (1) título de la página web,relativo a classes/Misc.php; o el parámetro (2) return_url o (3) return_desc sobredisplay.php. • http://freshmeat.net/projects/phppgadmin/releases/336969 http://lists.fedoraproject.org/pipermail/package-announce/2011-October/067843.html http://lists.fedoraproject.org/pipermail/package-announce/2011-October/067846.html http://lists.fedoraproject.org/pipermail/package-announce/2011-October/068009.html http://lists.opensuse.org/opensuse-updates/2012-04/msg00033.html http://osvdb.org/75997 http://osvdb.org/75998 http://secunia.com/advisories/46248 http://secunia.com/advisories/46426 http://sou • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •