Cabecera-v2-web.jpg

Vulnerabilidad de SQL en PhpMyAdmin


phpmyadmin.png

PhpMyAdmin es una herramienta escrita en PHP, que provee una interfaz Web amigable para la administración de bases de datos MySQL, su primera versión data del año 1998 y su última versión estable al momento de escribir esta noticia es la 4.9.2 liberada el 22 de Noviembre del corriente año.

¿Qué pasó?

Justamente el día 22 de Noviembre, se dio a conocer el CVE-2019-18622 en el cual expone una vulnerabilidad de inyección de código SQL en PhpMyAdmin a través de la funcionalidad “designer”, en versiones anteriores a la 4.9.2. No se conocen a profundidad los detalles técnicos y hasta el momento no existe un exploit disponible, sin embargo puede ver los cambios aplicados en la funcionalidad aquí.

img001php.png

img002php.png


Recomendaciones:

  • Siempre es recomendable mantener nuestro software a la última versión estable disponible, en este caso PhpMyAdmin 4.9.2.
  • Por otro lado también se recomienda proteger las interfaces de administración y consolas de acceso Web a través de un firewall para que solo personas autorizadas puedan acceder las mismas.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11