Vulnerabilidad en MySQLDumper (CVE-2012-4252)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
13/08/2012
Última modificación:
11/04/2025
Descripción
Múltiples vulnerabilidades de falsificación de peticiones en sitios cruzados (CSRF) en MySQLDumper v1.24.4 permiten a atacantes remotos secuestrar la autentificación de los administradores para las peticiones que (1) eliminan la restricción de acceso a archivos a través de una acción deletehtaccess, (2) colocan una base de datos a través de un valor &#39;kill&#39; en una acción db, (3) desinstalan aplicaciones a través de un valor 101 en el parámetro &#39;phase&#39; a learn/cubemail/install.php, (4) borran config.php a través de un valor 2 en el parámetro &#39;phase&#39; a learn/cubemail/install.php , (5) cambian una contraseña a través de una acción Schutz, o (6) ejecutan comandos SQL a través del parámetro sql_statement a learn/cubemail/sql.php.<br />
Impacto
Puntuación base 2.0
5.10
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mysqldumper:mysqldumper:1.24.4:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.org/files/112304/MySQLDumper-1.24.4-LFI-XSS-CSRF-Code-Execution-Traversal.html
- http://www.osvdb.org/81613
- http://www.securityfocus.com/bid/53306
- https://exchange.xforce.ibmcloud.com/vulnerabilities/75285
- http://packetstormsecurity.org/files/112304/MySQLDumper-1.24.4-LFI-XSS-CSRF-Code-Execution-Traversal.html
- http://www.osvdb.org/81613
- http://www.securityfocus.com/bid/53306
- https://exchange.xforce.ibmcloud.com/vulnerabilities/75285