Fecha de publicación: Mié, 25/09/2019 - 16:06

 

PhpMyAdmin es una herramienta libre y de código abierto para administrar las bases de datos MySQL y MariaDB muy utilizada sobre todo en las aplicaciones de gestión de contenido creadas con WordPress o Joomla.

La vulnerabilidad ha sido descubierta por el investigador de seguridad Manuel García Cárdenas, y podría permitir la ejecución de un ataque CSRF. Identificada como CVE-2019-12922 y de gravedad media, esta vulnerabilidad podría ser aprovechada por un atacante remoto para modificar o borrar cualquier configuración del servidor a través de una dirección web especialmente manipulada de una víctima que tenga una sesión abierta en un panel de administración phpMyAdmin.

El investigador de seguridad, no obstante, calma a los administradores de estas bases de datos aclarando que el aprovechamiento de esta vulnerabilidad no permite eliminar ninguna tabla o base de datos existente.

Junto con la noticia, el investigador de seguridad ha publicado una prueba de concepto demostrando cómo se aprovecharía de este error un atacante. La publicación de la vulnerabilidad ha tenido lugar después de que, en junio, Cárdenas se pusiera en contacto con la compañía afectada y 90 días después no el problema no hubiese sido corregido.

 

PoC exploit phpmyadmin

 

Como recomendación, se aconseja no hacer clic en enlaces sospechosos o de origen no confiable hasta que la vulnerabilidad sea corregida.