{"id":281,"date":"2018-06-24T14:56:26","date_gmt":"2018-06-24T19:56:26","guid":{"rendered":"https:\/\/www.uv.mx\/csirt\/?p=281"},"modified":"2018-06-25T14:57:56","modified_gmt":"2018-06-25T19:57:56","slug":"vulnerabilidad-en-phpmyadmin-4-8-x-permite-ejecucion-remota-de-codigo","status":"publish","type":"post","link":"https:\/\/www.uv.mx\/csirt\/boletines\/vulnerabilidad-en-phpmyadmin-4-8-x-permite-ejecucion-remota-de-codigo\/","title":{"rendered":"Vulnerabilidad en PhpMyAdmin 4.8.x permite ejecuci\u00f3n remota de c\u00f3digo"},"content":{"rendered":"

\"\"<\/p>\n

 <\/p>\n

24\/06\/2018<\/p>\n

 <\/p>\n

Bolet\u00edn de ciberseguridad<\/strong><\/p>\n

Nivel:\u00a0Importante<\/p>\n

 <\/p>\n

Vulnerabilidad en PhpMyAdmin 4.8.x permite ejecuci\u00f3n remota de c\u00f3digo<\/strong><\/p>\n

\u00a0<\/strong><\/p>\n

Descripci\u00f3n:<\/strong><\/p>\n

 <\/p>\n

El equipo de seguridad ChaMD5 ha encontrado una vulnerabilidad del tipo \u00abInclusi\u00f3n de Fichero Local\u00bb (Local File Inclusi\u00f3n, LFI) que permitir\u00eda la ejecuci\u00f3n de c\u00f3digo remoto (Remote Code Execution, RCE) en la versi\u00f3n 4.8.1 de PhpMyAdmin, una conocida aplicaci\u00f3n web que permite trabajar con bases de datos MySQL del servidor.<\/p>\n

 <\/p>\n

La vulnerabilidad se encuentra en la funci\u00f3n ‘checkPageValidity’, del fichero ‘\/libraries\/classes\/Core.php’ de PhpMyAdmin, la cual se encarga de comprobar que el fichero a cargar usando el par\u00e1metro ‘target’ de ‘index.php’ es v\u00e1lido. Mediante una doble codificaci\u00f3n, es posible saltar la restricci\u00f3n para cargar un archivo local arbitrario. Un ejemplo ser\u00eda: ‘\/index.php?target=db_sql.php%253f\/etc\/passwd’.<\/p>\n

 <\/p>\n

Adem\u00e1s, para conseguir la ejecuci\u00f3n remota de c\u00f3digo, puede aprovecharse que PhpMyAdmin almacena en ficheros de sesi\u00f3n las sentencias SQL introducidas en su interfaz. As\u00ed pues, introduciendo una sentencia como \u00abselect ‘<?php phpinfo();exit;?>'\u00bb, y obteniendo el id de sesi\u00f3n gracias a la cookie ‘phpMyAdmin’, puede ejecutarse c\u00f3digo PHP arbitrario, el cual podr\u00eda llamar a comandos del sistema. Un ejemplo completo ser\u00eda el siguiente:<\/p>\n

 <\/p>\n

‘index.php?target=db_sql.php%253f\/..\/..\/..\/..\/..\/..\/..\/..\/var\/lib\/php\/sessions\/sess_d41d8cd98f00b204e9800998ecf8427e’<\/p>\n

 <\/p>\n

 <\/p>\n

A d\u00eda de hoy no se encuentra disponible una versi\u00f3n de PhpMyAdmin que solucione el fallo. Aunque se requiera estar autenticado para la explotaci\u00f3n de esta vulnerabilidad, el uso de credenciales por defecto, fuerza bruta u otra vulnerabilidad que permita acceder sin credenciales, podr\u00edan permitir el control de la m\u00e1quina debido a este fallo.<\/p>\n

\u00a0<\/strong><\/p>\n

 <\/p>\n

Soluci\u00f3n:<\/strong><\/p>\n

 <\/p>\n

Para evitar la explotaci\u00f3n de vulnerabilidades como esta, es importante restringir el acceso a herramientas de administraci\u00f3n. Una posible soluci\u00f3n es limitar la conexi\u00f3n a IPs autorizadas, o el uso de autenticaci\u00f3n Basic Auth con una conexi\u00f3n HTTPS.<\/p>\n

 <\/p>\n

Fuentes:<\/strong><\/p>\n

 <\/p>\n

phpMyAdmin 4.8.x LFI to RCE (Authorization Required):<\/p>\n

https:\/\/blog.vulnspy.com\/2018\/06\/21\/phpMyAdmin-4-8-x-Authorited-CLI-to-RCE\/<\/p>\n

 <\/p>\n

phpmyadmin4.8.1 getshell:<\/p>\n

https:\/\/mp.weixin.qq.com\/s?__biz=MzIzMTc1MjExOQ==&mid=2247485036&idx=1&sn=8e9647906c5d94f72564dec5bc51a2ab&chksm=e89e2eb4dfe9a7a28bff2efebb5b2723782dab660acff074c3f18c9e7dca924abdf3da618fb4&mpshare=1&scene=1&srcid=0621gAv1FMtrgoahD01psMZr&pass_ticket=LqhRfckPxAVG2dF%2FjxV%2F9%2FcEb5pShRgewJe%2FttJn2gIlIyGF%2FbsgGmzcbsV%2BLmMK<\/p>\n","protected":false},"excerpt":{"rendered":"

  24\/06\/2018   Bolet\u00edn de ciberseguridad Nivel:\u00a0Importante   Vulnerabilidad en PhpMyAdmin 4.8.x permite ejecuci\u00f3n remota de c\u00f3digo \u00a0 Descripci\u00f3n:   El equipo de seguridad ChaMD5 ha encontrado una vulnerabilidad del tipo \u00abInclusi\u00f3n de Fichero Local\u00bb (Local File Inclusi\u00f3n, LFI) que permitir\u00eda la ejecuci\u00f3n de c\u00f3digo remoto (Remote Code Execution, RCE) en la versi\u00f3n 4.8.1 de […]<\/p>\n","protected":false},"author":2037,"featured_media":282,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"ventana_nueva":"","tipo_url":"","url":"","extracto":"","imagen_halign":"","imagen_valign":"","bg_size":"","text_hide":"","media_url":"","tipo_media":"","video_url":"","video_pos":"","video_youtube":"","footnotes":""},"categories":[2],"tags":[],"class_list":["post-281","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-boletines"],"_links":{"self":[{"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/posts\/281","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/users\/2037"}],"replies":[{"embeddable":true,"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/comments?post=281"}],"version-history":[{"count":0,"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/posts\/281\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/media\/282"}],"wp:attachment":[{"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/media?parent=281"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/categories?post=281"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.uv.mx\/csirt\/wp-json\/wp\/v2\/tags?post=281"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}