Se ha descubierto una vulnerabilidad crítica de inyección de consultas SQL en PhpMyAdmin, en la página de cuentas de usuarios lo cual permite a un atacante que tenga una cuenta válida de MySQL, inyectar SQL personalizado al realizar consultas de forma arbitraria.
La misma se identifica con CVE-2020-5504 – CWE-661
Versiones afectadas:
Las versiones anteriores a la 4.9.4 y anterior 5.0.1
Recomendaciones:
- Aplicar las actualizaciones brindadas por el fabricante para cada rama. Sin embargo, recomendamos tener el software a la última versión estable disponible.
- Filtrar las conexiones con el motor de base de datos para solo aquellos equipos que realmente requieran la conexión.
Referencias: