Resultados 1 al 3 de 3

Tema: Ejecución remota de código PHP en phpMyAdmin

  1. #1 Ejecución remota de código PHP en phpMyAdmin 
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.709
    Descargas
    30
    Uploads
    8
    Se ha dado a conocer una vulnerabilidad en phpMyAdmin 2.x y 3.x que podría ser aprovechada por un atacante remoto para ejecutar código PHP arbitrario, pudiendo comprometer el sistema.

    PhpMyAdmin es una popular herramienta de administración de MySQL a través de Internet escrita en PHP. Este software permite crear y eliminar Bases de Datos, crear, eliminar y alterar tablas, borrar, editar y añadir campos, administrar privilegios y claves en campos, exportar datos en varios formatos; y en general ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.
    El fallo descubierto, catalogado como serio por el equipo de desarrollo de phpMyAdmin, está causado porque el valor de entrada pasado al parámetro "sort_by" en "server_databases.php" no se limpia de forma adecuada antes de ser utilizado. Esto podría ser aprovechado por un atacante remoto para inyectar y ejecutar código PHP arbitrario con los privilegios del servidor web, lo que le permitiría conseguir el control del sistema vulnerable. Para que el fallo de seguridad pueda ser explotado, es necesario que el atacante disponga de credenciales de autenticación válidas.
    Se ha comprobado que el problema afecta a las versiones anteriores a la 2.11.9.1 de phpMyAdmin y también a la 3.0.0 RC1. Se recomienda actualizar a cualquiera de las versiones no vulnerables (2.11.9.1 ó 3.0.0-rc2), disponibles para su descarga desde:

    http://www.phpmyadmin.net/home_page/downloads.php

    Más información

    phpMyAdmin security announcement PMASA-2008-7
    http://www.phpmyadmin.net/home_page/...e=PMASA-2008-7

    phpMyAdmin Code Execution Vulnerability
    http://fd.the-wildcat.de/pma_e36a091q11.php

    FUENTE:HISPASEC
    Citar  
     

  2. #2  
    Iniciado
    Fecha de ingreso
    Mar 2009
    Mensajes
    12
    Descargas
    0
    Uploads
    0
    Disculpa mi ignorancia, pero he buscado en internet y eso y aun no me queda claro como ejecutar codigos en una pagina web, ¿podrías aclararmelo por favor?
    Gracias de antemano Xau salu2!
    Citar  
     

  3. #3  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Este tema es muy antiguo, por favor no reabras posts antiguos si no es para aportar algún dato interesante.

    Cada aplicación/sitio web tiene sus propias vulnerabilidades, no hay una fórmula para todo. En el ejemplo anterior, está muy bien ilustrado:
    http://fd.the-wildcat.de/phpmyadmin3_xss1.jpg

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

Temas similares

  1. Ejecución de código remota en Internet Explorer 6
    Por morza2 en el foro VULNERABILIDADES
    Respuestas: 0
    Último mensaje: 30-11-2005, 22:26
  2. ejecucion remota
    Por morza2 en el foro INTRUSION
    Respuestas: 7
    Último mensaje: 23-12-2004, 00:49
  3. Ejecución remota de código en eMule 0.42d
    Por LUK en el foro VULNERABILIDADES
    Respuestas: 0
    Último mensaje: 05-04-2004, 20:16
  4. Ejecución de código sin firma en PlayStation 2
    Por el pegao en el foro CONSOLAS
    Respuestas: 1
    Último mensaje: 15-09-2003, 18:01
  5. Ejecución inesperada de código con REGEDIT.EXE
    Por Sn@ke en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 19-04-2003, 17:07

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •