Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun phpMyAdmin-en

Argitalpen data: 2018/12/13

Garrantzia: Handia

Kaltetutako baliabideak:

phpMyAdmin-en ondoko bertsioak izan dira kaltetuak:

  • 4.0tik 4.8.3ra bitartekoak
  • 4.7.0tik 4.7.6ra eta 4.8.0tik 4.8.3ra bitartekoak

Azalpena:

phpMyAdmin-eko ekipoak 4.8.4 bertsioa argitaratu du, segurtasun zuzenketa garrantzitsu batzuk dituena.

Konponbidea:

  • phpMyAdmin-eko 4.8.4 edo goragoko bertsiora eguneratzea gomendatzen da.

Xehetasuna:

  • 4.0tik 4.8.3ra bitarteko bertsioek fitxategi lokalen inklusio akats bat daukate (Local File Inclusion, LFI). Hori baliatuz urruneko erasotzaile batek zerbitzariko fitxategi lokalak irakur litzake. Ahultasun horretarako CVE-2018-19968 identifikatzailea erabili da. Gainera, bertsio horietan Cross-site Scripting (XSS) erako beste ahultasun bat ere aurkitu da. Hori baliatuz erasotzaile batek kode gaiztoa injekta dezake bereziki diseinatutako taula/datu baseko izen baten bidez. Ahultasun horretarako CVE-2018-19970 identifikatzailea erabili da.
  • 4.7.0tik 4.7.6ra eta 4.8.0tik 4.8.3ra bitarteko bertsioetan akats bat aurkitu da. Hori baliatuz, erasotzaile batek asmo txarreko SQL eragiketak egin litzake Cross-site Request Forgery (CSRF) eraso baten bidez. Ahultasun horretarako CVE-2018-19969 identifikatzailea erabili da.
Etiketak: Eguneraketa, PHP, Ahultasuna