Detectados fallos de seguridad en phpMyAdmin

Publicado el en la categoría Bases de Datos, Seguridad

Detectados fallos de seguridad en phpMyAdminPhpMyAdmin es una aplicación web muy popular, destinada facilitar la administración de la base de datos MySQL. Gracias a phpMyAdmin, se pueden gestionar fácilmente tareas que directamente vía consola, resultarían bastante tediosas.

Recientemente se han descubierto varias vulnerabilidades que pueden poner en peligro la información de las bases de datos a las que administran. La peligrosidad de los fallos de seguridad detectados, radica en que esta aplicación es muy popular y está muy extendida entre los usuarios. Por ello, ataques a esta plataforma comprometerían a un gran número de usuarios.

Los fallos de seguridad detectados en phpMyAdmin

Como hemos comentado, recientemente se descubrieron varias vulnerabilidades que comprometían a los usuarios de esta aplicación. Estas vulnerabilidades son:

XSS directo

Mediante este fallo, un atacante podría insertar caracteres especiales, por ejemplo HTML, codificados en la propia URL, y mostrar dichos caracteres en la página destino. (Código de vulnerabilidad CVE-2016-5099)

Datos sensibles en los parámetros de consulta de URL GET

Posibilidad de visualizar datos sensibles en las peticiones SQL. Esta información está expuesta y puede ser recopilada en los ficheros log (Código de vulnerabilidad CVE-2016-5097)

Mostrar contenido de directorios

A través de una payload especialmente diseñada, un usuario con suficientes conocimientos, puede hacer que el componente para reportar errores muestre el contenido del sistema de ficheros y su tamaño. (Código de vulnerabilidad CVE-2016-5098)

Versiones phpMyAdmin afectadas

Las versiones afectadas son las siguientes:

  • Versiones de la rama 4.4 anteriores a la 4.4.15.6 y de la rama 4.6 anteriores a la 4.6.2.
  • Versiones provenientes de la rama de desarrollo ‘master’ del Git
  • Todas las versiones anteriores a la 4.6.2.

Por tanto, y como siempre hacemos en estos casos, es recomendar la actualización a la última versión de phpMyAdmin, para corregir estas situaciones de riesgo y evitar en la medida de lo posible problemas derivados de este fallo de seguridad

Facebooktwittergoogle_plus