Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidades SQLi y CSRF en phpMyAdmin

Fecha de publicación: 05/06/2019

Importancia: Crítica

Recursos afectados:

  • Las versiones de phpMyAdmin anteriores a 4.8.6 (CVE-2019-11768)
  • Todas las versiones de phpMyAdmin anteriores a 4.9.0, al menos desde la versión 4.0 (CVE-2019-12616)

Descripción:

Se han encontrado dos vulnerabilidades una de ellas crítica en phpMyAdmin:

  • William Desportes, miembro del equipo de phpMyAdmin, ha reportado una vulnerabilidad del tipo Inyección de SQL en la función Designer.
  • Mauro Tempesta encontró una vulnerabilidad calificada como crítica del tipo CSRF (Cross-Site Request Forgery o falsificación de petición en sitios cruzados) en el formulario de inicio de sesión.

Solución:

Se recomienda actualizar el producto o aplicar los parches, respectivamente:

  • Actualice a phpMyAdmin 4.8.6 o posterior o aplique el parche para la vulnerabilidad de tipo inyección SQL.
  • Actualice a phpMyAdmin 4.9.0 o posterior o aplique el parche para la vulnerabilidad de tipo CSRF.

Detalle:

  • La vulnerabilidad de inyección SQL permite utilizar un nombre de base de datos especialmente diseñado para desencadenar un ataque de este tipo. Se ha asignado el CVE-2019-11768 a esta vulnerabilidad.
  • La vulnerabilidad de CSRF permite a un atacante engañar al usuario, por ejemplo a través de una etiqueta < img > rota en el formulario que apunta a la base de datos phpMyAdmin de la víctima, el atacante podría entregar una carga útil o payload (como una instrucción INSERT o DELETE específica). Se ha asignado el CVE-2019-12616 a esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad