[CVE-2015-8669] Revelación de la ruta completa donde phpMyAdmin se encuentra instalado
Se han publicado nuevas versiones de phpMyAdmin destinadas a solucionar una vulnerabilidadde revelación de información sensible.
PhpMyAdmin es una popular herramienta, escrita en PHP, para la administración de MySQL a través de un navegador. Este software permite crear, modificar y eliminar bases de datos, tablas, campos, administrar privilegios y, en general, ejecutar cuaquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.
El problema, con CVE-2015-8669, reside en que al ejecutar de una forma no habitual determinados scripts de phpMyAdmin, se puede formar a phpMyAdmin para mostrar un error PHP que contiene la ruta completa donde phpMyAdmin se encuentra instalado.
Las vulnerabilidades se han solucionado en las versiones 4.0.10.12, 4.1.15.2 y 4.5.3.1 disponibles desde https://www.phpmyadmin.net/downloads/
O a través de los siguientes parches:
Para la rama 4.0:
Para la rama 4.4:
Para la rama 4.5:
Este fallo aunque no puede considerarse especialmente grave, sí puede resultar de importancia para un posible atacante, ya que puede permitir obtener información del servidor y del sistema que permita construir un ataque más elaborado y de mayor gravedad.
Más información:
PMASA-2015-6
Antonio Ropero
Twitter: @aropero
Via: unaaldia.hispasec.com
[CVE-2015-8669] Revelación de la ruta completa donde phpMyAdmin se encuentra instalado
![[CVE-2015-8669] Revelación de la ruta completa donde phpMyAdmin se encuentra instalado](https://3.bp.blogspot.com/-FupwH4UadNs/U864GVwYQbI/AAAAAAAABS0/fG4T2rSYo0Y/s72-c/Phpmyadmin-logo.png)
Reviewed by Zion3R
on
0:30
Rating:
Reviewed by Zion3R
on
0:30
Rating:
