martes, 24 de mayo de 2011

phpMyAdmin 3.4.1 soluciona dos fallos de seguridad

Se ha publicado la nueva versión de phpMyAdmin que soluciona dos vulnerabilidades.

PhpMyAdmin es una popular herramienta, escrita en PHP, para la administración de MySQL a través de un navegador. Este software permite crear, modificar y eliminar bases de datos, tablas, campos, administrar privilegios y, en general, ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.

Estos dos errores son ocasionados por no filtrar correctamente los parámetros recibidos en las peticiones web.

El primero está identificado como CVE-2011-1940, y se trata de un fallo de Cross Site Scripting a través del nombre de una tabla. Al mostrar el nombre de la tabla en la aplicación, no se filtra correctamente el texto, lo que permite inyectar código HTML y/o JavaScript.

El segundo de los problemas solucionados, identificado como CVE-2011-1941, permite generar una URL que redirija a cualquier lugar. Este error permitiría a un atacante redirigir a quienes visitan el enlace hacia una ubicación arbitraria, lo que permitiría su uso para ataques de phishing o falsificación.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

PMASA-2011-4:
http://www.phpmyadmin.net/home_page/security/PMASA-2011-4.php

PMASA-2011-3:
http://www.phpmyadmin.net/home_page/security/PMASA-2011-3.php

No hay comentarios:

Publicar un comentario en la entrada