Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/12/13

Garrantzia: Handia

Kaltetutako baliabideak:

phpMyAdmin-en ondoko bertsioak izan dira kaltetuak:

• 4.0tik 4.8.3ra bitartekoak
• 4.7.0tik 4.7.6ra eta 4.8.0tik 4.8.3ra bitartekoak

Azalpena:

phpMyAdmin-eko ekipoak 4.8.4 bertsioa argitaratu du, segurtasun zuzenketa garrantzitsu batzuk dituena.

Konponbidea:

• phpMyAdmin-eko 4.8.4 edo goragoko bertsiora eguneratzea gomendatzen da.

Xehetasuna:

• 4.0tik 4.8.3ra bitarteko bertsioek fitxategi lokalen inklusio akats bat daukate (Local File Inclusion, LFI). Hori baliatuz urruneko erasotzaile batek zerbitzariko fitxategi lokalak irakur litzake. Ahultasun horretarako CVE-2018-19968 identifikatzailea erabili da. Gainera, bertsio horietan Cross-site Scripting (XSS) erako beste ahultasun bat ere aurkitu da. Hori baliatuz erasotzaile batek kode gaiztoa injekta dezake bereziki diseinatutako taula/datu baseko izen baten bidez. Ahultasun horretarako CVE-2018-19970 identifikatzailea erabili da.
• 4.7.0tik 4.7.6ra eta 4.8.0tik 4.8.3ra bitarteko bertsioetan akats bat aurkitu da. Hori baliatuz, erasotzaile batek asmo txarreko SQL eragiketak egin litzake Cross-site Request Forgery (CSRF) eraso baten bidez. Ahultasun horretarako CVE-2018-19969 identifikatzailea erabili da.

Etiketak: Eguneraketa, PHP, Ahultasuna