Aplikacja phpPgAdmin używana jest przez wielu administratorów do zarządzania serwerami PostgreSQL. Niestety okazuje się, że jest pełna dziur…
Ostatnio wykryto bardzo poważny błąd pozwalający na przejęcie kontroli nad system, na którym zainstalowano phpPgAdmin:
www.securityfocus.com/archive/1/469293
Zgłoszenie to jednak nie zostało jeszcze jednak potwierdzone. W przeciwieństwie do dwóch luk XSS, które wykryłem:
www.securityfocus.com/bid/24115
www.securityfocus.com/bid/24182
Twórcy phpPgAdmin skontaktowali się z mną i przekazałem im informacje o tych i innych usterkach. Jednakże do tej pory nie załatano większości z nich.
Chciałbym również zwrócić uwagę na webmail UebiMiau. Już w przeszłości wykryto w nim sporo luk XSS, jednakże nic poważniejszego. Przeglądając jego kody odkryłem jednak szereg luk o różnej skali niebezpieczeństwa co zaowocowało tym o to zgłoszeniem: www.securityfocus.com/bid/24210