Saltar al contenido
Anuncios

Múltiples vulnerabilidades críticas detectadas en phpMyAdmin

múltiples vulnerabilidades críticas detectadas en phpmyadmin

Se han publicado varios (2) boletines de seguridad que detallan diferentes vulnerabilidades encontradas en el popular software de bases de datos phpMyAdmin. En este artículo detallamos en qué consisten y las posibles remediaciones a los mismos.

phpMyAdmin es un software gratuito, escrito en PHP, que permite  gestionar bases de datos de tipo MySQL o MariaDB a través de internet. Combina la conveniencia de una interfaz gráfica con la agilidad de la línea de comandos para realizar consultas.

Vulnerabilidades en phpMyAdmin publicadas en Enero

Acceso de lectura a archivos

La primera de las dos vulnerabilidades halladas es catalogada como lectura arbitraria de archivos. Un atacante podría tener acceso de lectura a cualquier fichero del servidor si el parámetro de configuración AllowArbitraryServer está asignado como True.

Este problema (CVE 2019-6799) es de carácter crítico y afecta a versiones desde la 4.0 hasta la 4.8.4 de phpMyAdmin. Para volver a un estado seguro es necesario aplicar el parche 4.8.5, que ha sido publicado en nuevos commit de GitHub.

Vulnerabilidad de inyección SQL

El segundo escenario que podría darse es un ataque SQL injection o inyección SQL que afecta a la característica “designer”. La gravedad de esta vulnerabilidad no es crítica, pero si de tipo serio, así que conviene aplicar un parche sin mucha demora. Afecta a versiones desde la 4.5 hasta la 4.8.4 de phpMyAdmin.

Con el identificador CVE (Common Vulnerabilities and Exposures) 2019-6798 este fallo de seguridad podría usar un nombre de usuario específicamente diseñado para iniciar un ataque de inyección SQL mediante la función “diseñador” de este software.

Al igual que con la primera vulnerabilidad, es necesario actualizar a la versión 4.8.5 publicada en Github para solventar el problema.

Enlace a los boletines de seguridad:

Anuncios

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: