Gravedad: Alta
Fecha de publicación: 14 de enero de 2020 Identificador CVE ids: CVE-2020-5504 Identificar CWE ids: CWE-661
Fuente: phpmyadmin.net
Sistemas Afectados
Las versiones phpMyAdmin 4.x anteriores a 4.9.4 se ven afectadas, al menos tan antiguas como 4.0.0. y las versiones phpMyAdmin 5.x versión 5.0.0 se ve afectada.
I. Descripción
Se ha descubierto una vulnerabilidad crítica de inyección de consultas SQL en PhpMyAdmin, en la página de cuentas de usuarios lo cual permite a un atacante que tenga una cuenta válida de MySQL, inyectar SQL personalizado al realizar consultas de forma arbitraria.
II. Solución
• Aplicar las actualizaciones brindadas para el 4.8 y 4.9 a la versión 4.9.4 o posterior, igualmente para la versión 5.x, actualizar a la versión 5.0.1 o posterior.
• Aplique el parche a continuación (https://gist.github.com/ibennetch/4c1b701f4b766e4dd5556e8e26200b6b).
• Filtrar las conexiones con el motor de base de datos, solo para aquellos equipos que requieran conexión.
III. Referencia a soluciones, herramientas e información
• Nueva Inyección SQL en PhpMyAdmin. CERT-PY. Centro de Respuestas a Incidentes Cibernéticos Recopilado en: https://www.cert.gov.py/index.php/noticias/nueva-inyeccion-sql-en-phpmyadmin
• Bringing MySQL to the web. PMASA-2020-1. phpMyAdmin team. Recopilado en: https://www.phpmyadmin.net/security/PMASA-2020-1/
• CVE-2020-5504 Detail. National Vulnerability Database. NIST. Recopilado en: https://nvd.nist.gov/vuln/detail/CVE-2020-5504
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa