Se ha descubierto según leemos en Hispasec, una vulnerabilidad en el gestor de bases de datos vía navegador PhpMyAdmin, mediante la cual un atacante remoto podría leer archivos del servidor mediante un fichero XML especialmente creado para tal caso (en la etiqueta «ENTITY» se especifica la ruta al fichero al que se desea tener acceso).
Concretamente el fallo reside en la función «simplexml_load_string» del archivo «libraries/import/xml.php». Este fallo ha sido ampliamente difundido en la red a través de varias webs, lo que lo hace especialmente peligroso si tenemos en cuenta que de momento no se ha publicado parche que lo corrija.
Hay que aclarar que para que un atacante pudiera comprometer nuestro servidor, ha de poder autenticarse en él, es decir, que se trate de uno de nuestros usuarios. Mas información aquí.
