漏洞标题
N/A
漏洞描述信息
在 phpMyAdmin 中的 cookie 加密中发现了一个问题。 username/password 的解密可能受到填充 oracle 攻击的影响。这可能会允许拥有用户浏览器 cookie 文件访问权限的 attacker 解密 username 和密码。此外,将相同的初始化向量(IV)用于哈希 phpMyAdmin 中存储的 username 和密码。如果用户具有与用户名相同的密码,攻击者检查浏览器 cookie 可以看到它们相同 - 但是,攻击者无法从 cookie 直接解码这些值,因为它仍然被哈希。所有 4.6.x 版本(Before 4.6.4), 4.4.x 版本(Before 4.4.15.8), 和 4.0.x 版本(Before 4.0.10.17)都受到影响。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in cookie encryption in phpMyAdmin. The decryption of the username/password is vulnerable to a padding oracle attack. This can allow an attacker who has access to a user's browser cookie file to decrypt the username and password. Furthermore, the same initialization vector (IV) is used to hash the username and password stored in the phpMyAdmin cookie. If a user has the same password as their username, an attacker who examines the browser cookie can see that they are the same - but the attacker can not directly decode these values from the cookie as it is still hashed. All 4.6.x versions (prior to 4.6.4), 4.4.x versions (prior to 4.4.15.8), and 4.0.x versions (prior to 4.0.10.17) are affected.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
phpMyAdmin 安全绕过漏洞
漏洞描述信息
phpMyAdmin中存在信息泄露漏洞。攻击者可利用该漏洞访问用户浏览器cookie文件,破解用户名和密码。以下版本受到影响:phpMyAdmin 4.6.4之前的4.6.x版本,4.4.15.8之前的4.4.x版本,4.0.10.17之前的4.0.x版本。
CVSS信息
N/A
漏洞类别
信息泄露