Daboweb

Fallo de seguridad en PhpMyAdmin

Publicado por vlad on Noviembre 10, 2011
Seguridad Informática

Se ha descubierto según leemos en Hispasec, una vulnerabilidad en el gestor de bases de datos vía navegador PhpMyAdmin, mediante la cual un atacante remoto podría leer archivos del servidor mediante un fichero XML especialmente creado para tal caso (en la etiqueta “ENTITY” se especifica la ruta al fichero al que se desea tener acceso).

Concretamente el fallo reside en la función “simplexml_load_string” del archivo “libraries/import/xml.php”. Este fallo ha sido ampliamente difundido en la red a través de varias webs, lo que lo hace especialmente peligroso si tenemos en cuenta que de momento no se ha publicado parche que lo corrija.

Hay que aclarar que para que un atacante pudiera comprometer nuestro servidor, ha de poder autenticarse en él, es decir, que se trate de uno de nuestros usuarios. Mas información aquí.

Tags: , , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.