Peru Noticias » cross site scripting http://www.meganoticias.net Noticias Peru: de ultima hora, local, y del mundo Tue, 07 Feb 2012 12:38:40 +0000 en hourly 1 http://wordpress.org/?v=3.3.1 Cross site scripting en PhpMyAdmin http://www.meganoticias.net/cross-site-scripting-en-phpmyadmin/ http://www.meganoticias.net/cross-site-scripting-en-phpmyadmin/#comments Sat, 17 Oct 2009 22:55:44 +0000 Seowilmer http://www.meganoticias.net/?p=101 PhpAdminPhpMyAdmin es una extraordinaria utilidad escrita en PHP de administración de MySQL mediante un navegador. Esta aplicación admite crear y borrar bases de datos, crear, borrar y alterar tablas, eliminar, editar y añadir campos, administrar privilegios y claves en campos, exportar datos en diversos formatos; y en general ejecutar cualquier fallo SQL. Asimismo está disponible en más de 50 idiomas bajo licencia GPL.

El primero de los errores posee su origen en una la falta de validación de ciertos parámetros en pmd_pdf.php. Esto lograría ser aprovechado por un atacante para inyectar código SQL y ejecutar sentencias no permitidas.

Por otro parte, existen diversos errores en db_operations.php y pdf_pages.php provocados por no utilizar la función “htmlspecialchars” cuando se presentan ciertos datos. Esto lograría ser aprovechado por una atacante para añadir código HTML o JavaScript. Si un administrador visualiza esos datos, un atacante lograría utilizar JavaScript para robar su cookie de sesión, por ejemplo. En la versión 3.x este error asimismo se halla en db_structure.php

Estas vulnerabilidades ya han sido reparadas y se consigue descargar la nueva versión desde el sitio phpmyadmin.net

]]> http://www.meganoticias.net/cross-site-scripting-en-phpmyadmin/feed/ 0