Alerta de Seguridad No. 9/22: Divulgación de información sensible en phpMyAdmin

  • 11/03/2022
  • 283
Alerta de Seguridad No. 9/22: Divulgación de información sensible en phpMyAdmin

INCIBE ha hecho pública recientemente una vulnerabilidad en phpMyAdmin, con el código interno INCIBE-2022-0636, que ha sido descubierta por Rafael Pedrero. A esta vulnerabilidad se le ha asignado el código CVE-2022-0813.

Recursos afectados: 

PhpMyAdmin, versión 5.1.1 y anteriores.

Descripción: 

PhpMyAdmin versión 5.1.1 y anteriores, permite a un atacante la divulgación de información sensible a actores no autorizados por medio de peticiones especialmente diseñadas. Esto afecta a los parámetros langpma_parameter y a la sección cookie.

Recomendaciones: 

Actualizar a la versión 5.1.3 de phpMyAdmin, publicada el 11/02/2022.

La versión 5.1.3 incluye una mejora en el fortalecimiento de la seguridad. El problema, informado por Rafael Pedrero, podría permitir que los usuarios provoquen un error que revelaría la ruta en el disco desde donde se ejecuta phpMyAdmin. La versión 5.1.3 incluye algunas otras correcciones de errores menores y se recomienda para todos los usuarios. La versión 4.9 de phpMyAdmin solo tiene soporte de seguridad extendido. La versión 5.2.0 está en pruebas finales y se espera que reemplace la rama 5.1 próximamente, sin cambios en las versiones requeridas de PHP o del servidor de base de datos.

Referencias:

  • https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/divulgacion-informacion-sensible-phpmyadmin
  • https://www.phpmyadmin.net/news/2022/2/11/phpmyadmin-4910-and-513-are-released/