Sistemas Afectados

1. Descripción

   Los parámetros de "root_path" en el archivo master.php no se verifican correctamente. Esto se puede explotar para incluir archivos arbitrarios de recursos externos y locales. La explotación de esta vulnerabilidad requiere que los "register_globals" estén permitidos. La vulnerabilidad se ha divulgado en la versión 2,3,3. Otras versiones pueden también ser afectadas.

2. Impacto

   Los equipos que no encuenten actualmente con la actualización son suceptibles a que una persona maliciosa pueda ejecutar comandos remotamente o pueda modificar el contenido del servidor web.

3. Solución

   Se recomienda actualizar el archivo master.php por que viene en la siguiente dirección oficial.

   http://www.openphpnuke.info/files/master.zip

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
• Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)