For the English version of this alert, click here.
Allele Security Alert
ASA-2018-00071
Identificador(es)
ASA-2018-00071, CVE-2018-19968, PMASA-2018-6
Título
Local file inclusion por meio do recurso de transformação
Fabricante(s)
The phpMyAdmin Project
Produto(s)
phpMyAdmin
Versão(ões) afetada(s)
As versões do phpMyAdmin de pelo menos 4.0 a 4.8.3 são afetadas.
Versão(ões) corrigida(s)
phpMyAdmin 4.8.4
Prova de conceito
Sim
Descrição
Foi encontrada uma falha em que um atacante pode explorar o phpMyAdmin para vazar o conteúdo de um arquivo local. O atacante deve ter acesso às tabelas do phpMyAdmin Configuration Storage, embora elas possam ser facilmente criadas em qualquer banco de dados ao qual o atacante tenha acesso. Um atacante deve ter credenciais válidas para efetuar login no phpMyAdmin; essa vulnerabilidade não permite que um atacante contorne o sistema de login.
Detalhes técnicos
Desconhecido
Créditos
Daniel Le Gall
Referência(s)
Security fix: phpMyAdmin 4.8.4 is released
https://www.phpmyadmin.net/news/2018/12/11/security-fix-phpmyadmin-484-released/
phpMyAdmin – Security – PMASA-2018-6
https://www.phpmyadmin.net/security/PMASA-2018-6/
Remove transformation plugin includes
https://github.com/phpmyadmin/phpmyadmin/commit/6a1ba61e29002f0305a9322a8af4eaaeb11c0732
phpMyAdmin (AllowArbitraryServer) Arbitrary File Read Vulnerability
https://www.vulnspy.com/en-phpmyadmin-load-data-local-file-read-local-file/phpmyadmin_(allowarbitraryserver)_arbitrary_file_read_vulnerability/
Rogue-MySql-Server/rogue_mysql_server.py at master · Gifts/Rogue-MySql-Server
https://github.com/Gifts/Rogue-MySql-Server/blob/master/rogue_mysql_server.py
CVE-2018-19968
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-19968
CVE-2018-19968
https://nvd.nist.gov/vuln/detail/CVE-2018-19968
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 29 janeiro 2019