phpMyAdmin lanza una actualización que corrige 4 vulnerabilidades importantes

 phpmyadmin

phpMyAdmin, la herramienta de código abierto empleada para la gestión de bases de datos online, ha lanzado en el día de hoy una actualización de seguridad que soluciona 4 vulnerabilidades detectadas en la aplicación.

La vulnerabilidad ha sido detectada por Secunia, y afecta a todas las versiones de phpMyAdmin anteriores a la 3.3.10. 2 o la 3.4.3.1 por lo cual se recomienda descargar cualquiera de ellas o bien descargarse los parches de seguridad desde la web oficial del programa.

Los fallos, que los expertos de Secunia han calificado con elrango de €muy importantes€, están compuestos entre otras cosas por un agujero en la autenticación a través de la función €Swekey_login()€, que puede emplearse para manipular variables en una sesión o para ejecutar código PHP.

Otra vulnerabilidad (CVE-2011-2507) está originada en la €esterilización inadecuada€ de la entrada enviada a la función PMA_createTargetTables() en libraries/server_synchronize.lib.php, lo cual permite a los atacantes truncar la cadena patrón y enviar el modificador /e al preg_replace() que hace que el segundo argumento sea ejecutado como código PHP.

La tercera vulnerabilidad (CVE-2011-2508) también está relacionada a la €esterilización inadecuada€, pero en la función €PMA_displayTableBody()€, y se puede aprovechar para incluir archivos de recursos locales a través de técnicas de recorrido de directorio.

Por último, se abordó una debilidad en secuencias de comandos de instalación (CVE-2011-2506). Los atacantes pueden explotarla a sobrescribir las variables de sesión y esto puede conducir a la inyección de código arbitrario.

Descarga las actualizaciones (desde Sourceforge)

Visto en: hoysoftware.com

Esta entrada fue publicada en Software. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>