Vulnerabilidades críticas en phpMyAdmin

Share this…

Se detectan dos vulnerabilidades importantes en phpMyAdmin

Administradores de miles de sitios web se encuentran a la expectativa del lanzamiento de las actualizaciones

Acorde a reportes de especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, los administradores de phpMyAdmin, uno de los sistemas de manejo de bases de datos MySQL más conocidos y más utilizados, acaban de lanzar una versión actualizada de su software con el propósito de parchear diversas vulnerabilidades consideradas críticas que podrían permitir a un actor malicioso tomar control de los servidores web afectados de forma remota.

Los operadores del proyecto phpMyAdmin ya habían dado aviso sobre las actualizaciones a sus usuarios a través de una publicación en su blog, con la intención de que los administradores de sitios web, proveedores de servicios de alojamiento en la red y demás usuarios se prepararan de la mejor manera posible para instalar las actualizaciones críticas.

“Hemos recurrido a las técnicas empleadas por los desarrolladores de otros proyectos, como Mediawiki y otros parecidos, anticipando el lanzamiento de los parches de seguridad, permitiendo a los usuarios de phpMyAdmin preparar sus sistemas para la actualización”, menciona Isaac Bennetch, especialista en ciberseguridad y forense digital del phpMyAdmin.

El software de phpMyAdmin es una herramienta de administración gratuita y de código abierto para administrar bases de datos MySQL usando una interfaz gráfica de interacción muy simple a través del navegador web.

Según expertos en forense digital, casi cualquier servicio de alojamiento web cuenta con la instalación pre determinada de phpMyAdmin en sus paneles de control para ayudar a los administradores de sitios web a administrar de la manera más fácil posible sus bases de datos para sitios web como WordPress, Joomla y otros sistemas de administración de contenido.

Además de la corrección de algunos bugs, los desarrolladores de phpMyAdmin comentaron que la actualización se enfocará principalmente en tres fallas de seguridad críticas presentes en las versiones del software anteriores a 4.8.4:

  • Inclusión de archivos locales (CVE-2018-19968)

Una vulnerabilidad de inclusión de archivos locales se encuentra presente en  las versiones de phpMyAdmin entre 4.0 y 4.8.3. Esta falla podría permitir a un atacante remoto acceder a contenido confidencial en los archivos locales del servidor a través de su función de transformación.

  • Falsificación de solicitudes entre sitios (CSRF) / XSRF (CVE-2018-19969)

Las versiones de phpMyAdmin desde 4.7.0 a 4.7.6 y 4.8.0 a 4.8.3 incluyen una vulnerabilidad de falsificación de solicitudes entre sitios que, de ser explotada, permitiría a un hacker realizar operaciones SQL maliciosas. Entre estas actividades perjudiciales se encuentran cambios de nombres de las bases de datos, creación de nuevas tablas de contenido o eliminación de administradores.

  • Vulnerabilidad XSS (CVE-2018-19970)

El software también presenta una vulnerabilidad XSS en su árbol de navegación que afecta a las versiones entre 4.0 y 4.8.3, con lo que un hacker podría inyectar código malicioso en el sistema afectado con paquetes especialmente diseñados.

Según los desarrolladores de phpMyAdmin, la versión del software 4.8.4 abordará las tres vulnerabilidades críticas encontradas en las versiones anteriores. Además, los encargados del software lanzarán posteriormente algunos parches de actualización complementarios.

Por último, los encargados de phpMyAdmin recomiendan encarecidamente a los administradores de sitios web y proveedores de alojamiento que instalen los parches de actualización apenas estén disponibles.