Clicky

Cuidado: Una falla de phpMyAdmin afecta a todas sus versiones

Categoría: Seguridad
Visitas: 1246
phpMyAdmin logo

El ataque no permite a los atacantes eliminar ninguna base de datos o tabla almacenada en el servidor

Se recomienda encarecidamente a los administradores de sitios web y proveedores de alojamiento que eviten hacer clic en enlaces sospechosos

Un investigador de ciberseguridad publicó recientemente detalles y prueba de concepto para una vulnerabilidad de día cero sin parches en phpMyAdmin, una de las aplicaciones más populares para administrar las bases de datos MySQL y MariaDB.

phpMyAdmin es una herramienta de administración gratuita y de código abierto para MySQL y MariaDB que se usa ampliamente para administrar las bases de datos de sitios web creados con WordPress, Joomla y muchas otras plataformas de administración de contenido.

Descubierta por el investigador de seguridad y pentester Manuel García Cárdenas, la vulnerabilidad afirma ser una falla de falsificación de solicitudes entre sitios (CSRF), también conocida como XSRF, un ataque bien conocido en el que los atacantes engañan a los usuarios autenticados para que ejecuten una acción no deseada.

Identificada como CVE-2019-12922, la falla ha recibido una calificación media debido a su alcance limitado que solo permite que un atacante elimine cualquier servidor configurado en la página de configuración de un panel phpMyAdmin en el servidor de la víctima.

Cabe señalar que no es algo de lo que debas preocuparte mucho porque el ataque no permite a los atacantes eliminar ninguna base de datos o tabla almacenada en el servidor.

Todo lo que un atacante debe hacer es enviar una URL diseñada a los administradores web específicos, que ya han iniciado sesión en su panel phpmyAdmin en el mismo navegador, engañándolos para que eliminen sin saberlo el servidor configurado simplemente haciendo clic en él.

"El atacante puede crear fácilmente un falso hipervínculo que contiene la solicitud que desea ejecutar en nombre del usuario, lo que hace posible un ataque CSRF debido al uso incorrecto del método HTTP", explica Cárdenas en una publicación en la lista de correo Full Disclosure.

Sin embargo, la vulnerabilidad es fácil de explotar porque, aparte de conocer la URL de un servidor de destino, un atacante no necesita conocer ninguna otra información, como el nombre de las bases de datos.

Prueba de concepto del código exploit

phpmyadmin exploit

La falla afecta a las versiones de phpMyAdmin hasta la 4.9.0.1, que es la última versión del software en el momento de la redacción. La falla de seguridad también reside en phpMyAdmin 5.0.0-alpha1, que se lanzó en julio de 2019, dijo Cárdenas.

Cárdenas descubrió esta vulnerabilidad en junio de 2019 y también la informó de manera responsable a los responsables del proyecto.

Sin embargo, después de que los mantenedores de phpMyAdmin no pudieron corregir la vulnerabilidad dentro de los 90 días posteriores a la notificación, el 13 de septiembre el investigador decidió divulgar los detalles de vulnerabilidad y la PoC al público.

Para abordar esta vulnerabilidad, Cárdenas recomendó "implementar en cada llamada la validación de la variable de token, como ya se hizo en otras solicitudes phpMyAdmin", como una solución.

Hasta que los responsables de mantenimiento corrijan la vulnerabilidad, se recomienda encarecidamente a los administradores de sitios web y proveedores de alojamiento que eviten hacer clic en enlaces sospechosos.