Lanzan nuevo parche para vulnerabilidades de phpMyAdmin

14 Diciembre 2018
Crítico

phpMyAdmin, una de las herramientas más populares, gratuita y de código abierto para administrar bases de datos MySQL, lanzó una nueva actualización de su software, que parcha 3 vulnerabilidades críticas y varias graves, que podrían permitir a un atacante tomar el control de los servidores web afectados.

Casi todos los web hostings preinstalan phpMyAdmin en sus paneles de control, para facilitar a los webmasters la administración de las bases de datos de sus sitios webs, tales como Wordpress, Joomla y muchas otras plataformas.

Unos de los 3 fallos críticos es un local file inclusion que podría permitir a un atacante remoto leer contenidos confidenciales de archivos locales en el servidor.

Otro, es un Cross-Site Request Forgery (CSRF)/XSRF que si se explota, permite al ciberdelincuente realizar operaciones SQL maliciosas, como cambiar el nombre de las bases de datos, crear nuevas tablas/rutinas, eliminar páginas del diseñador, agregar o eliminar usuarios, actualizar las contraseñas de los usuarios y anular procesos SQL, a través de phishing.

Y la tercera vulnerabilidad crítica es de Cross-site scripting (XSS), que permite al atacante inyectar código malicioso en los dashboards.

Se recomienda actualizar phpMyAdmin a la versión 4.8.4.

El listado de las CVE se adjunta a continuación:


Tags: #phpmyadmin #mysql #wordpress #joomla #csrf #xsrf #xss
  • Productos Afectados
  • Producto Versión
    phpMyAdmin 4.8.3 y anteriores.


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.