Coordinación de Seguridad de la Información

Coordinación de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-345 Múltiples vulnerabilidades en phpPgAds

Se reportarón varias vulnerabilidades en phpPgAds que pueden explotarse para obtener información sensible, realizar ataques de SQL injection, o comprometer un sistema vulnerable.

  • Fecha de Liberación: 17-Ago-2005
  • Fuente:

    Pine Digital Security
    Maximilian Arciemowicz, SecurityReason.com

  • CVE ID: CAN-2005-2498
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Verificación deficiente en parametros

Sistemas Afectados

phpPgAds 2.0.6
  1. Descripción

    Se reportarón varias vulnerabilidades en phpPgAds que pueden explotarse por personas maliciosas para obtener información sensible, realizar ataques de SQL injection, o comprometer un sistema vulnerable.

    1. phpPgAds utiliza una versión vulnerable de XML-RPC para PHP.

      Ver:
      Ejecución de código PHP en etiquetas XML anidadas de XML_RPC.

    2. La entrada que se pasa al parámetro "clientid" dentro de lib-view-direct.inc.php no es verificada apropiadamente antes de utilizarse en una petición SQL. Esto puede explotarse para manipular las peticiones SQL inyectando código SQL arbitrario.

      Una explotación exitosa requiere MySQL 4.1+ o PostgreSQL.

    3. La entrada que se pasa a ciertos parámetros no es verificada apropiadamente antes de utilizarse para incluir archivos. Esto puede explotarse para agregar archivos, locales, arbitrarios.

  2. Impacto

    SQL Injection.

    Manipulación de datos.

    Exposición de información sensible.

    Acceso al sistema.

  3. Solución

    Actualizar a la versión 2.0.6.
    http://prdownloads.sourceforge.net/phppgads/phpPgAds-2.0.6.tar.gz?download

  4. Apéndices

    Mayor información.

    http://www.phppgads.com/
    http://www.seguridad.unam.mx/vulnerabilidades/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México AENOR LOGO FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT