Detectados fallos de seguridad en phpMyAdmin

Detectados fallos de seguridad en phpMyAdminPhpMyAdmin es una aplicación web muy popular, destinada facilitar la administración de la base de datos MySQL. Gracias a phpMyAdmin, se pueden gestionar fácilmente tareas que directamente vía consola, resultarían bastante tediosas.

Recientemente se han descubierto varias vulnerabilidades que pueden poner en peligro la información de las bases de datos a las que administran. La peligrosidad de los fallos de seguridad detectados, radica en que esta aplicación es muy popular y está muy extendida entre los usuarios. Por ello, ataques a esta plataforma comprometerían a un gran número de usuarios.

Los fallos de seguridad detectados en phpMyAdmin

Como hemos comentado, recientemente se descubrieron varias vulnerabilidades que comprometían a los usuarios de esta aplicación. Estas vulnerabilidades son:

XSS directo

Mediante este fallo, un atacante podría insertar caracteres especiales, por ejemplo HTML, codificados en la propia URL, y mostrar dichos caracteres en la página destino. (Código de vulnerabilidad CVE-2016-5099)

Datos sensibles en los parámetros de consulta de URL GET

Posibilidad de visualizar datos sensibles en las peticiones SQL. Esta información está expuesta y puede ser recopilada en los ficheros log (Código de vulnerabilidad CVE-2016-5097)

Mostrar contenido de directorios

A través de una payload especialmente diseñada, un usuario con suficientes conocimientos, puede hacer que el componente para reportar errores muestre el contenido del sistema de ficheros y su tamaño. (Código de vulnerabilidad CVE-2016-5098)

Versiones phpMyAdmin afectadas

Las versiones afectadas son las siguientes:

  • Versiones de la rama 4.4 anteriores a la 4.4.15.6 y de la rama 4.6 anteriores a la 4.6.2.
  • Versiones provenientes de la rama de desarrollo ‘master’ del Git
  • Todas las versiones anteriores a la 4.6.2.

Por tanto, y como siempre hacemos en estos casos, es recomendar la actualización a la última versión de phpMyAdmin, para corregir estas situaciones de riesgo y evitar en la medida de lo posible problemas derivados de este fallo de seguridad

Facebooktwittergoogle_plus