phpMyAdmin contiene una falla que permite ataques de cross site scripting remotos. Esto podría permitir que se ejecute código arbitrario en el navegador Web del usuario, ocasionando una pérdida de integridad.
phpMyAdmin | == | 2.8.0.2 |
phpMyAdmin | == | 2.8.0.3 |
phpMyAdmin | == | 2.8.1-dev (CVS version) |
phpMyAdmin | == | 2.9.0-dev (CVS version) |
phpMyAdmin contiene una falla que permite ataques remotos de tipo cross site scripting. Esta falla existe debido a que la entrada que se le pasa al parámetro “lang” en “index.php” no se depura correctamente antes de devolver su valor.
Este permitirá que un usuario modifique una URL que contenga código arbitrario el cual pueda ser ejecutado en el navegador Web del usuario dentro de la relación de confianza entre el navegador y el servidor, ocasionando una pérdida de integridad.
Esto podría permitir que se ejecute código arbitrario en el navegador Web del usuario, permitiendo que el atacante pueda realizar un ataque de ingenieria social que permita robar información de los usuarios de un sitio que cuente con phpMyAdmin.
Hasta el momento el desarrollador de este software no ha liberado ningún parche, por lo que se recomienda, Editar el código fuente para asegurarse de que la entrada sea depurada correctamente.
Otra solución es configurar reglas de control de acceso ya sea en el web server o a través de un firewall para evitar que usuarios mal intensionados puedan explotar esta debilidad del software.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT