Se han encontrado dos vulnerabilidades
una de ellas crítica en phpMyAdmin:
William Desportes, miembro del equipo
de phpMyAdmin, ha reportado una vulnerabilidad del tipo Inyección de SQL en la
función Designer.
Mauro Tempesta encontró una
vulnerabilidad calificada como crítica del tipo CSRF (Cross-Site Request
Forgery o falsificación de petición en sitios cruzados) en el formulario de
inicio de sesión.
Recursos afectados:
Las versiones de phpMyAdmin anteriores
a 4.8.6 (CVE-2019-11768)
Todas las versiones de phpMyAdmin
anteriores a 4.9.0, al menos desde la versión 4.0 (CVE-2019-12616)
Recomendación
Se recomienda actualizar el producto o aplicar los
parches, respectivamente:
- Actualice a phpMyAdmin 4.8.6 o posterior o aplique
el parche para vulnerabilidad tipo inyección SQL. (https://github.com/phpmyadmin/phpmyadmin/commit/c1ecafc38319e8f768c9259d4d580e42acd5ee86)
- Actualice a phpMyAdmin 4.9.0 o posterior o aplique
el parche para la vulnerabilidad de tipo CSRF. https://github.com/phpmyadmin/phpmyadmin/commit/015c404038c44279d95b6430ee5a0dddc97691ec
Detalle de vulnerabilidades
La vulnerabilidad de inyección SQL
permite utilizar un nombre de base de datos especialmente diseñado para
desencadenar un ataque de este tipo. Se ha asignado el CVE-2019-11768 a esta
vulnerabilidad.
La vulnerabilidad de CSRF permite a un
atacante engañar al usuario, por ejemplo a través de una etiqueta
rota en el formulario que apunta a la base de datos phpMyAdmin de la víctima,
el atacante podría entregar una carga útil o payload (como una instrucción
INSERT o DELETE específica). Se ha asignado el CVE-2019-12616 a esta vulnerabilidad.
Más información
Fuente: INCIBE