Vulnerabilidad en un archivo de Sesión /tmp en phpMyAdmin (CVE-2008-1567)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-312
Almacenamiento de información sensible en texto claro
Fecha de publicación:
31/03/2008
Última modificación:
14/02/2024
Descripción
phpMyAdmin versiones anteriores a 2.11.5.1, almacena la clave secreta MySQL de (1) nombre de usuario (2) contraseña, y (3) Blowfish, en texto sin cifrar en un archivo de Sesión bajo /tmp, que permite a los usuarios locales obtener información confidencial.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:phpmyadmin:phpmyadmin:*:*:*:*:*:*:*:* | 2.11.5.1 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:4.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:8:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:opensuse:10.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:opensuse:10.3:*:*:*:*:*:*:* | ||
| cpe:2.3:o:opensuse:opensuse:11.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2008-11/msg00002.html
- http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00000.html
- http://secunia.com/advisories/29588
- http://secunia.com/advisories/29613
- http://secunia.com/advisories/29964
- http://secunia.com/advisories/30816
- http://secunia.com/advisories/32834
- http://secunia.com/advisories/33822
- http://sourceforge.net/tracker/index.php?func=detail&aid=1909711&group_id=23067&atid=377408
- http://www.debian.org/security/2008/dsa-1557
- http://www.mandriva.com/security/advisories?name=MDVSA-2008%3A131
- http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2008-2
- http://www.securityfocus.com/bid/28560
- http://www.vupen.com/english/advisories/2008/1037/references
- https://exchange.xforce.ibmcloud.com/vulnerabilities/41541
- https://www.redhat.com/archives/fedora-package-announce/2008-April/msg00031.html
- https://www.redhat.com/archives/fedora-package-announce/2008-April/msg00080.html