Vulnerabilidad en una extensión "pdo_" en los usuarios de MySQL, MariaDB, PgSQL y SQLite en Adminer (CVE-2021-29625)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
19/05/2021
Última modificación:
25/05/2021
Descripción
Adminer es un software de administración de bases de datos de código abierto. Una vulnerabilidad de tipo cross-site scripting en Adminer versiones 4.6.1 hasta 4.8.0, afecta a los usuarios de MySQL, MariaDB, PgSQL y SQLite. Un ataque de tipo XSS en la mayoría de los casos es impedido por un CSP estricto en todos los navegadores modernos. La única excepción es cuando Adminer está usando una extensión "pdo_" para comunicarse con la base de datos (se usa si las extensiones nativas no están habilitadas). En los navegadores sin CSP, las versiones de Adminer 4.6.1 hasta 4.8.0 están afectadas. La vulnerabilidad está parcheada en la versión 4.8.1. Como soluciones alternativas, se puede usar un navegador que admita CSP estricto o habilitar las extensiones nativas de PHP (por ejemplo, "mysqli") o deshabilitar la visualización de errores de PHP ("display_errors")
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:adminer:adminer:*:*:*:*:*:*:*:* | 4.6.1 (incluyendo) | 4.8.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página