Un Investigador de seguridad ha
publicado una vulnerabilidad 0 day que afecta a todas las versiones de phpMyAdmin
actualmente no corregida.
PhpMyAdmin es una herramienta libre y
de código abierto para administrar las bases de datos MySQL y MariaDB muy
utilizada sobre todo en las aplicaciones de gestión de contenido creadas con
WordPress o Joomla.
La vulnerabilidad ha sido descubierta
por el investigador de seguridad Manuel García Cárdenas, y podría permitir la
ejecución de un ataque CSRF. Identificada como CVE-2019-12922 y de gravedad
media, esta vulnerabilidad podría ser aprovechada por un atacante remoto para
modificar o borrar cualquier configuración del servidor a través de una
dirección web especialmente manipulada de una víctima que tenga una sesión
abierta en un panel de administración phpMyAdmin.
El investigador de seguridad, no
obstante, calma a los administradores de estas bases de datos aclarando que el
aprovechamiento de esta vulnerabilidad no permite eliminar ninguna tabla o base
de datos existente.
Junto con la noticia, el investigador
de seguridad ha publicado una prueba de concepto demostrando cómo se
aprovecharía de este error un atacante. La publicación de la vulnerabilidad ha
tenido lugar después de que, en junio, Cárdenas se pusiera en contacto con la
compañía afectada y 90 días después no el problema no hubiese sido corregido.
Como recomendación, se aconseja no
hacer clic en enlaces sospechosos o de origen no confiable hasta que la
vulnerabilidad sea corregida.
Más información:
·
Warning:
Researcher Drops phpMyAdmin Zero-Day Affecting All Versions https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html
·
phpMyAdmin
4.9.0.1 – Cross-Site Request Forgery https://www.exploit-db.com/exploits/47385
Fuente: Hispasec
