Vulnerabilidad XSRF en phpMyAdmin. Hasta ahora no existe un parche para corregir esta falla

Especialistas en análisis de vulnerabilidades han reportado la presencia de una vulnerabilidad día cero sin corregir en el software de phpMyAdmin, una de las aplicaciones de administración de bases de datos MySQL y MariaDB más utilizadas del mundo. Además de reportar la vulnerabilidad, los expertos publicaron algunos detalles de la prueba de concepto para su explotación.

Se detectan dos vulnerabilidades importantes en phpMyAdmin

Como se ha mencionado anteriormente, phpMyAdmin es una herramienta gratuita y de código abierto para el manejo de MySQL y MariaDB, ampliamente utilizada para administrar bases de datos de sitios web creados en productos como Joomla, WordPress, entre otros sistemas de administración de contenido (CMS).

Manuel García, experto en ciberseguridad y análisis de vulnerabilidades, fue el encargado del hallazgo. En su informe, el experto afirma que se trata de una vulnerabilidad de falsificación de solicitudes entre sitios (XSRF), que consiste en engañar a un usuario autenticado para que ejecute acciones maliciosas en el sistema objetivo.

La vulnerabilidad, identificada como CVE-2019-12922, fue considerada como de severidad media, principalmente por su limitado alcance, pues su explotación sólo permite a los actores de amenazas eliminar servidores configurados en la página de configuración de un panel de phpMyAdmin en el servidor de las víctimas.

Sin embargo, el experto en análisis de vulnerabilidades señala que este ataque no permite a los hackers eliminar bases de datos sin interacción de las víctimas, pues dependen de enviar URLs especialmente diseñadas a administradores de contenido específicos con sesión de phpMyAdmin iniciada. “El hacker que trate de explotar esta falla deberá engañar a la víctima para que ésta elimine el servidor configurado sin darse cuenta”, menciona García.

Además, “un hacker podría crear de forma muy fácil un falso enlace que contenga la solicitud que desea ejecutar a través de la víctima, haciendo posible el ataque XSRF debido al uso incorrecto del método HTTP”, agregó el experto.  

La vulnerabilidad está presente en todas las versiones de phpMyAdmin hasta la más reciente (4.9.0.1). Además, el experto agregó que la falla también reside en phpMyAdmin 5.0.0-alpha1, versión lanzada hace aproximadamente un mes. La vulnerabilidad fue descubierta el pasado mes de junio; el equipo de seguridad de phpMyAdmin fue notificado acorde a los procedimientos establecidos.

No obstante, la compañía fracasó en su intento por lanzar un parche para corregir la vulnerabilidad, por lo que el especialista decidió revelar al público su hallazgo, además de la prueba de concepto, una vez que el periodo de 90 días después de presentar el informe a la compañía se cumplió.

Debido a que la vulnerabilidad sigue sin ser corregida, especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan recurrir a algunas soluciones alternativas, como la implementación de la validación del token en cada llamada, al menos hasta que los parches sean lanzados.  

Además, se recomienda encarecidamente a los administradores de sitios web administrados con estos CMS abstenerse de hacer clic en enlaces sospechosos o cuya seguridad no pueda ser verificada, al menos hasta que el equipo de seguridad de phpMyAdmin logre desarrollar un parche para corregir esta falla.