PhpMyAdmin es una herramienta escrita en PHP, que provee una interfaz Web amigable para la administración de bases de datos MySQL, su primera versión data del año 1998 y su última versión estable al momento de escribir esta noticia es la 4.9.2 liberada el 22 de Noviembre del corriente año.
¿Qué pasó?
Justamente el día 22 de Noviembre, se dio a conocer el CVE-2019-18622 en el cual expone una vulnerabilidad de inyección de código SQL en PhpMyAdmin a través de la funcionalidad “designer”, en versiones anteriores a la 4.9.2. No se conocen a profundidad los detalles técnicos y hasta el momento no existe un exploit disponible, sin embargo puede ver los cambios aplicados en la funcionalidad aquí.
Recomendaciones:
- Siempre es recomendable mantener nuestro software a la última versión estable disponible, en este caso PhpMyAdmin 4.9.2.
- Por otro lado también se recomienda proteger las interfaces de administración y consolas de acceso Web a través de un firewall para que solo personas autorizadas puedan acceder las mismas.
Referencias: