Se ha publicado la nueva versión de phpMyAdmin que soluciona dos
vulnerabilidades.
PhpMyAdmin es una popular herramienta, escrita en PHP, para la
administración de MySQL a través de un navegador. Este software permite
crear, modificar y eliminar bases de datos, tablas, campos, administrar
privilegios y, en general, ejecutar cualquier sentencia SQL. Además está
disponible en más de 50 idiomas bajo licencia GPL.
Estos dos errores son ocasionados por no filtrar correctamente los
parámetros recibidos en las peticiones web.
El primero está identificado como CVE-2011-1940, y se trata de un fallo
de Cross Site Scripting a través del nombre de una tabla. Al mostrar el
nombre de la tabla en la aplicación, no se filtra correctamente el
texto, lo que permite inyectar código HTML y/o JavaScript.
El segundo de los problemas solucionados, identificado como
CVE-2011-1941, permite generar una URL que redirija a cualquier lugar.
Este error permitiría a un atacante redirigir a quienes visitan el
enlace hacia una ubicación arbitraria, lo que permitiría su uso para
ataques de phishing o falsificación.
Más información:
PMASA-2011-4:
http://www.phpmyadmin.net/home_page/security/PMASA-2011-4.php
PMASA-2011-3:
http://www.phpmyadmin.net/home_page/security/PMASA-2011-3.php
¿Te resultó interesante? Compártelo ...
