Vulnerabilidad en la funcionalidad designer en phpMyAdmin (CVE-2019-18622)
Severidad:
CRÍTICA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
22/11/2019
Última modificación:
14/01/2020
Descripción
Se detectó un problema en phpMyAdmin versiones anteriores a 4.9.2. Se puede utilizar un nombre de base de datos/tabla diseñado para desencadenar un ataque de inyección SQL por medio de la funcionalidad designer.
Impacto
Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Severidad 2.0
Pendiente de análisis
Productos y versiones vulnerables
- cpe:2.3:a:phpmyadmin:phpmyadmin:*:*:*:*:*:*:*:*
- cpe:2.3:o:opensuse:leap:15.0:*:*:*:*:*:*:*
- cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
- cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
- cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
- https://www.phpmyadmin.net/security/PMASA-2019-5/ (Origen:CONFIRM)
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BA4DGF7KTQS6WA2DRNJSW66L43WB7LRV/ (Origen:FEDORA)
- http://lists.opensuse.org/opensuse-security-announce/2019-12/msg00002.html (Origen:SUSE)
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/W5GW4KEMNCBQYZCIXEJYC42OEBBN2NSH/ (Origen:FEDORA)
- http://lists.opensuse.org/opensuse-security-announce/2020-01/msg00024.html (Origen:SUSE)
- https://security.gentoo.org/glsa/202003-39 (Origen:GENTOO)