Vulnerabilidades SQLi y CSRF en phpMyAdmin
Fecha de publicación: 05/06/2019
Importancia:
Crítica
Recursos afectados:
- Las versiones de phpMyAdmin anteriores a 4.8.6 (CVE-2019-11768)
- Todas las versiones de phpMyAdmin anteriores a 4.9.0, al menos desde la versión 4.0 (CVE-2019-12616)
Descripción:
Se han encontrado dos vulnerabilidades una de ellas crítica en phpMyAdmin:
- William Desportes, miembro del equipo de phpMyAdmin, ha reportado una vulnerabilidad del tipo Inyección de SQL en la función Designer.
- Mauro Tempesta encontró una vulnerabilidad calificada como crítica del tipo CSRF (Cross-Site Request Forgery o falsificación de petición en sitios cruzados) en el formulario de inicio de sesión.
Solución:
Se recomienda actualizar el producto o aplicar los parches, respectivamente:
- Actualice a phpMyAdmin 4.8.6 o posterior o aplique el parche para la vulnerabilidad de tipo inyección SQL.
- Actualice a phpMyAdmin 4.9.0 o posterior o aplique el parche para la vulnerabilidad de tipo CSRF.
Detalle:
- La vulnerabilidad de inyección SQL permite utilizar un nombre de base de datos especialmente diseñado para desencadenar un ataque de este tipo. Se ha asignado el CVE-2019-11768 a esta vulnerabilidad.
- La vulnerabilidad de CSRF permite a un atacante engañar al usuario, por ejemplo a través de una etiqueta rota en el formulario que apunta a la base de datos phpMyAdmin de la víctima, el atacante podría entregar una carga útil o payload (como una instrucción INSERT o DELETE específica). Se ha asignado el CVE-2019-12616 a esta vulnerabilidad.
Etiquetas:
Actualización, Vulnerabilidad
Powered by WPeMatico