Hardened-PHP Project heeft een fout ontdekt in versie 2.7.0 van Phpmyadmin, een veelgebruikt open-sourceprogramma om mysql-databases via het web te beheren.

Volgens ontdekker Stefan Esser is de fout makkelijk te misbruiken en zorgt dat ervoor dat de achterliggende database nagenoeg onbeschermd is. Phpmyadmin zou hierdoor tevens vatbaar zijn voor cross site scripting, waarbij een aanvaller zijn eigen code kan injecteren.

Het bewuste lek wordt veroorzaakt door een fout in de emulatielaag van het bestand grab_globals.php waardoor de blacklist met variabelen kan worden overschreven.

Volgens Esser kan dit er uiteindelijk toe leiden dat aanvallers controle over het systeem krijgen.

Zeer kritiek

Onderzoeksbureau Secunia noemt het door Esser ontdekte lek 'zeer kritiek' en stelt dat misbruik van het lek potentieel gevoelige database-informatie kan blootleggen.

Esser heeft zijn bevindingen eerder deze maand kenbaar gemaakt aan de makers van Phpmyadmin. Inmiddels is er een nieuwe versie uit waarin het lek niet voorkomt. Onderzoekers adviseren gebruikers dan ook te upgraden naar versie 2.7.0-pl1. Bron: Techworld