Los errores son ocasionados por no filtrar correctamente los parámetros recibidos en las peticiones web.
PhpMyAdmin es una herramienta, en PHP, para la administración de MySQL a través de un navegador que permite crear, modificar y eliminar bases de datos, tablas, campos, administrar privilegios y, en general, ejecutar cualquier sentencia SQL, disponible en más de 50 idiomas bajo licencia GPL.
Detalle de vulnerabilidades:
- La primera está identificada como CVE-2011-1940, y se trata de un fallo de Cross Site Scripting a través del nombre de una tabla. Al mostrar el nombre de la tabla en la aplicación, no se filtra correctamente el texto, lo que permite inyectar código HTML y/o JavaScript.
- La segunda vulnerabilidad, identificado como CVE-2011-1941, permite generar una URL que redirija a cualquier lugar. Este error permitiría a un atacante redirigir a quienes visitan el enlace hacia una ubicación arbitraria, lo que permitiría su uso para ataques de phishing o falsificación.
Recomendaciones:
- Publicada la nueva versión de phpMyAdmin que soluciona dos vulnerabilidades.
- Por tanto procede la actualización inmediata de los sistemas afectados.
Fuente: Hispasec