Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información obtenida de phpMyAdmin, referente a una vulnerabilidad que afecta a su herramienta de administración MySQL web, la cual de ser explotada, permitiría a un usuario no autorizado obtener el control completo de la base de datos. El informe contiene la respectiva mitigación de la vulnerabilidad.

Vulnerabilidad

CVE-2020-5504

Impacto

Esta vulnerabilidad permite a un usuario remoto ejecutar consultas SQL arbitrarias en la base de datos debido a una insuficiente sanitización de los datos entregados por el usuario en la página de cuentas de usuario. La explotación de esta vulnerabilidad permitiría a un usuario remoto leer, eliminar, insertar y modificar datos en la base de datos y obtener control completo de la aplicación en cuestión.

Productos Afectados

Todas las versiones de phpMyAdmin desde la 4.0.0 hasta la 4.9.3. También es vulnerable la versión 5.0.

Mitigación

Para las versiones 4.x, se debe actualizar a la versión 4.9.4 .

Para la versión 5.0, se debe actualizar a la versión 5.1.

Enlaces

https://www.phpmyadmin.net/security/PMASA-2020-1/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5504

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00117-01