Especialistas en análisis de vulnerabilidades reportan el hallazgo de una falla de seguridad en phpMyAdmin, una de las aplicaciones de administración de bases de datos MySQL más utilizadas del mundo, presente en múltiples versiones de la herramienta (desde 4.7.7 hasta 4.9.2).
Acorde al reporte, se trata de una vulnerabilidad de inyección SQL ejecutable a través de la función de diseñador usando un nombre de usuario especialmente creado para la explotación de la falla.
La vulnerabilidad, identificada como CVE-2019-18622, ya ha sido notificada al equipo detrás de phpMyAdmin, que recibió el reporte y comenzó a trabajar en las posibles soluciones de inmediato.
Los servidores Plesk no se ven afectados en su configuración por defecto. Por otra parte, Plesk no permite crear usuarios de bases de datos que usen caracteres especiales para su nombre de usuario, lo que es parte fundamental de este ataque.
Acorde a los especialistas en análisis de vulnerabilidades, solamente las implementaciones de DB Server Admin permiten la creación de usuarios de bases de datos de forma directa a través de MySQL, además, es necesario resaltar que la inyección SQL sólo es posible en la base de datos de phpMyAdmin.
En su informe sobre el error, el equipo detrás de phpMyAdmin reconoce que la vulnerabilidad es de gravedad elevada, por lo que instan a los usuarios potencialmente afectados a implementar las medidas de seguridad necesarias a la brevedad.
Para prevenir cualquier escenario de explotación, se recomienda actualizar a phpMyAdmin 4.9.2 o a cualquier versión posterior; el parche para versiones anteriores se encuentra disponible en el siguiente enlace de GitHub. En caso de dudas o comentarios, se recomienda ponerse en contacto directamente con el equipo de phpMyAdmin a través de su sitio web. Respecto a los usuarios creados a través de Plesk, no se requieren medidas de seguridad adicionales.
Múltiples problemas de seguridad se han reportado recientemente en esta herramienta. Hace un par de meses, especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) reportaron la presencia de una vulnerabilidad día cero sin corregir en phpMyAdmin; esta vulnerabilidad de falsificación de solicitudes entre sitios (XSRF) dependía de engañar a un usuario autenticado para ejecutar acciones maliciosas en el sistema objetivo.
Identificada como CVE-2019-12922, la falla fue considerada como de severidad media, debido a su limitado alcance, pues la explotación sólo permitía a los hackers eliminar servidores configurados en la página de configuración de un panel phpMyAdmin en el servidor de la víctima.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
