Se detectan dos vulnerabilidades importantes en phpMyAdmin

Escrito por Sergio De Luz
Seguridad

phpMyAdmin es una herramienta ampliamente utilizada por los administradores de sistemas y de bases de datos para manejar la administración de MySQL a través de una sencilla interfaz web. Esta software puede crear y eliminar bases de datos así como crear, eliminar, modificar o editar cualquier tabla, es decir, es capaz de administrar totalmente una base de datos MySQL.

Se ha descubierto que algunas de las últimas versiones de phpMyAdmin tienen dos importantes fallos de seguridad. La primera vulnerabilidad corresponde a una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF), si un usuario es engañado para acceder a una URL específicamente manipulada, sería posible modificar el fichero de configuración que se generó en el proceso de instalación. Este fallo no ha sido catalogado como crítico porque sólo afecta a dicho proceso de generación, y no al fichero de configuración que se está utilizando en la herramienta. Os recomendamos visitar la página web oficial de phpMyAdmin donde encontraréis toda la información sobre esta vulnerabilidad.

La segunda vulnerabilidad está relacionada con la llamada de la API a GitHub, mediante este fallo es posible llevar a cabo un ataque MITM (Man In The Middle), esta vulnerabilidad es más importante que la anterior ya que no sólo se interceptaría la información sino que también podría ser cambiada. Os recomendamos visitar la página web oficial de phpMyAdmin donde encontraréis toda la información sobre esta vulnerabilidad.

Versiones phpMyAdmin afectadas

Las versiones afectadas son las siguientes:

  • phpMyAdmin 4.0.X anterior a la version 4.0.10.10
  • phpMyAdmin 4.2.X anterior a la version 4.2.13.3
  • phpMyAdmin 4.3.X anterior a la version 4.3.13.1
  • phpMyAdmin 4.4.X anterior a la version 4.4.6.1

Versiones phpMyAdmin parcheadas

Actualmente ya se encuentran disponibles las últimas versiones de phpMyAdmin que corrigen estos fallos de seguridad, las versiones que no tienen estos fallos son:

  • phpMyAdmin 4.0.10.10 y posteriores
  • phpMyAdmin 4.2.13.3 y posteriores
  • phpMyAdmin 4.3.13.1 y posteriores
  • phpMyAdmin 4.4.6.1 y posteriores

Como siempre, se recomienda actualizar cuanto antes a estas versiones para evitar que un atacante explote dichos fallos.

Fuente > Incibe


Últimos análisis

Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10