CMS y LMS vulnerables a ataques de sus administradores de bases de datos.

• Autores: Alexis Ramón Domínguez Arrojo, Juan Carlos Sepúlveda Peña, Yulier Núñez Musa
• Localización: Revista Arquitectura e Ingeniería, ISSN-e 1990-8830, Vol. 12, Nº. 2, 2018, pág. 2
• Idioma: español
• Títulos paralelos:
  • CMS and LMS vulnerable to attacks by their database administrators.
• Enlaces
  • Texto completo (pdf)
• Resumen
  • español

    En la era de la Internet se utilizan cada vez más diversas tecnologías para llevar la información y el conocimiento a personas de todo el mundo. Algunas de ellas son los Sistemas para la Gestión del Aprendizaje como Moodle; los blogs, los sitios y portales web, basándose buena parte de estos en populares Sistemas Gestores de Contenidos como Joomla, Wordpress y Drupal. Estas tecnologías tienen en común la necesidad de usar un Sistema Gestor de Base de Datos para su funcionamiento en general, lo que incluye el uso de tablas para almacenar datos de los usuarios que tendrán acceso al sistema e información necesaria para su autenticación. Estos sistemas son administrados por personas que poseen elevados números de privilegios y que pueden explotar las vulnerabilidades presentes en Joomla, Wordpress, Drupal y Moodle para apropiarse de la cuenta de un usuario determinado para realizar actos perjudiciales con el nombre de dicha cuenta; esto lo logra al suplantar el password que existe en la base de datos (que él administra) asociado a un usuario por un nuevo password generado por él, sin que el usuario víctima lo note y pueda impedirlo. De ahí que el objetivo del artículo sea demostrar la existencia de dichas vulnerabilidades y como pueden ser explotadas por este tipo de personas con la intención de hacer daño, alertando de esta manera a los usuarios y a los desarrolladores de estas tecnologías para que tomen medidas al respecto. Los autores dan una propuesta de solución a esta situación.

  • English

    In the era of the Internet the information and knowledge, utilize to people of whole more and more various carryout technologies the world. Some there are Learning Management Systems like Moodle; sites and portals Web, having a base good part of these in popular Content Management Systems like Joomla, Wordpress and Drupal. These technologies have the need to use Data Base Management Systems for his functioning in general jointly that includes the use of tables to store data of the users that will have access to the system and necessary information for its authentication. People administrate the systems that they possess elevated numbers of privileges and that the present vulnerabilities in Joomla, Wordpress, Drupal and Moodle to take possession of the account of a user determined can exploit to accomplish nuisances under the name of the aforementioned account. This achieves it taking some my place the password that exists in database (that he administrates) once a user for a new password generated by him was associated, without than the user victim note it and may impede him. So that the objective of the article be to demonstrate the existence of the aforementioned vulnerabilities and as they can be exploited by this people's type with the intention of being harmful, alerting this way the users and to the developers of these technologies in order that they take measures to the respect. The authors give a proposal of solution to this situation.