Vulnerabilidad de Seguridad/UNAM−CERT UNAM−CERT

UNAM−CERT
Vulnerabilidad de Seguridad/UNAM−CERT
UNAM−CERT
Departamento de Seguridad en Cómputo
DGSCA−UNAM
Vulnerabilidad de Seguridad UNAM−CERT−2007−081
phpMyAdmin − Vulnerabilidad de XSS
phpMyAdmin es una herramienta escrita en PHP, con la intención de ayudar en la
administración de MySQL sobre el Web.
Fecha de Liberación: 15 de Octubre de 2007
Ultima Revisión:
19 de Octubre de 2007
Fuente:
Omer Singer (DigiTrust Group)
Sistemas Afectados
phpMyAdmin
==2.11.1
Sistemas No Afectados
phpMyAdmin
==2.11.1.1
Riesgo
Moderado
Problema de Vulnerabilidad
Remoto
Tipo de Vulnerabilidad
Cross−Site Scripting
I. Descripción
phpMyAdmin es propenso a una vulnerabilidad de cross−site scripting, porque
falla al verificar los datos intruducidos por el usuario, en el archivo setup.php.
La vulnerabilidad sólo puede ser disparada cuando se usa Internet Explorer con
la configuración "enviar URLs como UTF8" deshabilitada. El valor por defecto
Descripción
1
UNAM−CERT
de esta configuración a habilitada reduce el impacto de este problema.
II. Impacto
Un atacante podría explotar esta vulnerabilidad para ejecutar código script en el
explorador de un usuario, en el contexto del sitio afectado. Ésto puede ayudar a
un atacante a robar informaciín sensible o realizar a otros ataques.
III. Solución
Actualizar a la última versión.
IV. Referencias
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA−2007−5
http://www.securityfocus.com/bid/26020/discuss
El Departamento de Seguridad en Cómputo/UNAM−CERT agradece el apoyo en la
traducción, elaboración y revisión de éste Documento a:
• Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)
• Vicente Hernández Jiménez (bec_vhernandez at correo dot seguridad dot unam
dot mx)
UNAM−CERT
Equipo de Respuesta a Incidentes UNAM
Departamento de Seguridad en Cómputo
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
Impacto
2