Advertencia: Zero-Day Para phpMyAdmin Afecta Todas Las Versiones

Encuentra en el sitio

Últimos Artículos

Un investigador de ciberseguridad publicó recientemente detalles y prueba de concepto para una vulnerabilidad de día cero sin parches en phpMyAdmin, una de las aplicaciones más populares para administrar las bases de datos MySQL y MariaDB.

phpMyAdmin es una herramienta de administración gratuita y de código abierto para MySQL y MariaDB que se usa ampliamente para administrar la base de datos de sitios web creados con WordPress, Joomla y muchas otras plataformas de administración de contenido.

Descubierta por el investigador de seguridad y pentester Manuel García Cárdenas, la vulnerabilidad afirma ser una falla de falsificación de solicitudes entre sitios (CSRF), también conocida como XSRF, un ataque bien conocido en el que los atacantes engañan a los usuarios autenticados para que ejecuten una acción no deseada.

Identificado como CVE-2019-12922, la falla ha recibido una calificación media debido a su alcance limitado que solo permite que un atacante elimine cualquier servidor configurado en la página de configuración de un panel phpMyAdmin en el servidor de la víctima.

Cabe señalar que no es algo de lo que no deba preocuparse mucho porque el ataque no permite a los atacantes eliminar ninguna base de datos o tabla almacenada en el servidor.

Todo lo que un atacante debe hacer es enviar una URL diseñada a los administradores web específicos, que ya han iniciado sesión en su panel phpmyAdmin en el mismo navegador, engañándolos para que eliminen sin saberlo el servidor configurado simplemente haciendo clic en él.

“El atacante puede crear fácilmente un hipervínculo falso que contiene la solicitud que desea ejecutar en nombre del usuario, lo que hace posible un ataque CSRF debido al uso incorrecto del método HTTP”, explica Cárdenas en una publicación del correo de divulgación completa lista.

Sin embargo, la vulnerabilidad es trivial para explotar porque, aparte de conocer la URL de un servidor de destino, un atacante no necesita conocer ninguna otra información, como el nombre de las bases de datos.

Código de explotación de prueba de concepto

phpmyadmin-exploit

La falla afecta a las versiones de phpMyAdmin hasta 4.9.0.1, que es la última versión del software en el momento de la redacción. La falla de seguridad también reside en phpMyAdmin 5.0.0-alpha1, que se lanzó en julio de 2019. Cárdenas descubrió esta vulnerabilidad en junio de 2019 y también la informó de manera responsable a los responsables del proyecto.

Sin embargo, después de que los mantenedores de phpMyAdmin no pudieron corregir la vulnerabilidad dentro de los 90 días posteriores a la notificación, el investigador decidió divulgar los detalles de vulnerabilidad y PoC al público el 13 de septiembre. Para abordar esta vulnerabilidad, Cárdenas recomendó “implementar en cada llamada la validación de la variable de token, como ya se hizo en otras solicitudes phpMyAdmin”, como una solución.

Hasta que los responsables de mantenimiento corrijan la vulnerabilidad, se recomienda encarecidamente a los administradores de sitios web y proveedores de alojamiento que eviten hacer clic en enlaces sospechosos.

Deja un comentario