Centro de Seguridad TIC de la Comunitat Valenciana
Inicio » Alertas » Vulnerabilidades de SQL Injection y Cross-Site Scripting en phpMyAdmin
[   Castellano   |   Valencià   ]  

listado en truested introducer

Buscar


  • WWW csirtcv.es

ÚLTIMAS ALERTAS

RSS FEED

Más...

Autoritat de Certificació de la Comunitat Valenciana
Plan Avanza
Logo Avantic
Bandera de europa Feder
Sombra del menu
Sombra del menu
Anterior
Suscribirse a las alertas del CSIRTCV   Suscribirse a los boletines del CSIRTCV   Acceso al Foro   Acceso a los cursos de formación   RSS   Versión para imprimir
  Siguiente

Vulnerabilidades de SQL Injection y Cross-Site Scripting en phpMyAdmin

15-10-2009

Múltiples vulnerabilidades han sido identificadas en phpMyAdmin, lo que podría ser explotado por atacantes remotos para manipular o divulgar ciertos datos.

Sistemas afectados:

Versiones de phpMyAdmin anteriores a la 3.2.2.1
Versiones de phpMyAdmin anteriores a la 2.11.9.6

Riesgo:   Medio

Descripción:

El primer problema es causado por los errores de validación de entrada en el generador de esquema para archivos PDF, concretamente en el tratamiento de ciertos parámetros, lo que podría ser explotado por usuarios maliciosos para realizar ataques de Inyección SQL.
 
La segunda vulnerabilidad está causada por errores de validación de entrada al procesar nombres de tabla de la base de datos MySQL, que podría permitir ataques de Cross-Site Scripting.

Solución:

Actualizar a la versión 3.2.2.1 o la 2.11.9.6 desde:
http://www.phpmyadmin.net/home_page/downloads.php

Referencias:

CVE-2009-3696
CVE-2009-3697

Más información:

http://www.phpmyadmin.net/home_page/security/PMASA-2009-6.php
http://www.vupen.com/english/advisories/2009/2899
http://secunia.com/advisories/37016/

Fuente:   VUPEN www.vupen.com

Valid XHTML 1.0 Transitional Valid CSS Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI