Fallo de seguridad en PhpMyAdmin

Posted by vlad on noviembre 10, 2011
Seguridad Informática

Se ha descubierto según leemos en Hispasec, una vulnerabilidad en el gestor de bases de datos vía navegador PhpMyAdmin, mediante la cual un atacante remoto podría leer archivos del servidor mediante un fichero XML especialmente creado para tal caso (en la etiqueta «ENTITY» se especifica la ruta al fichero al que se desea tener acceso).

Concretamente el fallo reside en la función «simplexml_load_string» del archivo «libraries/import/xml.php». Este fallo ha sido ampliamente difundido en la red a través de varias webs, lo que lo hace especialmente peligroso si tenemos en cuenta que de momento no se ha publicado parche que lo corrija.

Hay que aclarar que para que un atacante pudiera comprometer nuestro servidor, ha de poder autenticarse en él, es decir, que se trate de uno de nuestros usuarios. Mas información aquí.

Tags: , , ,

Comments are closed.

Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)    Ver
Privacidad