William Desportes, del equipo de phpMyAdmin, ha descubierto una vulnerabilidad de inyección SQL en versiones anteriores a la 4.9.2.

Se ha asignado el identificador CVE-2019-18622 para esta vulnerabilidad, la cual permite que un atacante remoto ejecute consultas SQL arbitrarias en la base de datos. El error se debe a la limpieza insuficiente de los datos proporcionados por el usuario, pasados a través del parámetro correspondiente.

Se puede utilizar un nombre de base de datos, especialmente diseñado para desencadenar un ataque de inyección SQL a través de una funcionalidad en el editor.

Se recomienda actualizar a la versión 4.9.2 o superior, o aplicar el parche correspondiente.

Fuente: INCIBE

Compartir