20 de septiembre de 2008

Ejecución remota de código PHP en phpMyAdmin

Se ha descubierto una vulnerabilidad en phpMyAdmin 2.x y 3.x que podría ser aprovechada por un atacante remoto para ejecutar código PHP arbitrario, pudiendo comprometer el sistema.

  • PhpMyAdmin es una popular herramienta de administración de MySQL a través de Internet escrita en PHP.
  • Este software permite crear y eliminar Bases de Datos, crear, eliminar y alterar tablas, borrar, editar y añadir campos, administrar privilegios y claves en campos, exportar datos en varios formatos; y en general ejecutar cualquier sentencia SQL.
  • Además está disponible en más de 50 idiomas bajo licencia GPL.
  • Se ha comprobado que el problema afecta a las versiones anteriores a la 2.11.9.1 de phpMyAdmin y también a la 3.0.0 RC1.
  • Se recomienda actualizar a cualquiera de las versiones no vulnerables (2.11.9.1 ó 3.0.0-rc2), disponibles para su descarga desde aquí

Fuente: phpMyAdmin