MySql è il database per siti internet di natura open source forse più famoso al mondo. E’ stato tuttavia riscontrato un grave bug che mette a rischio tutti coloro che usano questa piattaforma per i loro siti.

In particolare, il comando dato dall’utente non gestisce correttamente alcuni caratteri  HTML come < in output. Questo permette all’attaccante di scrivere dati all’interno delle tabelle, o di modificare i risultati dell’output e iniettare codice pericoloso, come ad esempio, delle istruzioni Javascript tramite codici come

$ mysql –html –execute “select ‘<a>’” …
<TABLE BORDER=1><TR><TH><a></TH></TR><TR><TD><a></TD></TR></TABLE>

Gli utenti devono installare la patch disponibile presso
http://bugs.mysql.com/bug.php?id=27884.