Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Importante aggiornamento di sicurezza per phpMyAdmin

cross-site request forgery  cross-site scripting  phpMyAdmin   venerdì, 14 dicembre 2018

phpMyAdmin è un’applicazione Web libera open source scritta in PHP che consente di amministrare un database MySQL o MariaDB tramite un’interfaccia grafica in qualsiasi browser.

È stato recentemente rilasciato un importante aggiornamento di sicurezza per phpMyAdmin che risolve tre vulnerabilità, di cui una di gravità elevata, che potrebbero consentire ad un attaccante autenticato di ottenere informazioni potenzialmente sensibili o eseguire codice arbitrario sul server.

Dettagli delle vulnerabilità (in Inglese):

  • [High] Local file inclusion through transformation feature (CVE-2018-19968)
  • [Medium] XSRF/CSRF vulnerability in phpMyAdmin (CVE-2018-19969)
  • [Medium] A cross-site scripting vulnerability was found in the navigation tree, where an attacker can deliver a payload to a user through a specially-crafted database/table name (CVE-2018-19970)

Risultano variamente affette da queste vulnerabilità le versioni di phpMyAdmin dalla 4.0 alla 4.8.3. Per risolvere queste vulnerabilità è necessario aggiornare l’applicazione alla versione 4.8.3 o applicare le patch predisposte dagli sviluppatori.

Per maggiori informazioni su queste vulnerabilità, sulle versioni affette e sugli aggiornamenti disponibili è possibile consultare i seguenti avvisi di sicurezza di phpMyAdmin (in Inglese):

Notizie correlate

Risolta vulnerabilità di tipo XSS in Joomla! 3.9.6

8 maggio 2019

Il Joomla! Project ha rilasciato la versione 3.9.6 del suo CMS che risolve una vulnerabilità di tipo cross-site scripting nel codice "core" dell'applicazione.Leggi tutto

Gravi vulnerabilità del client SupportAssist mettono a rischio i computer Dell

6 maggio 2019

Sono state scoperte due gravi vulnerabilità nel software Dell SupportAssist client che possono consentire attacchi CSRF o esecuzione di codice da remoto.Leggi tutto

Aggiornamenti di sicurezza critici per Drupal 7 e 8

18 aprile 2019

Sono stati rilasciati aggiornamenti di sicurezza che risolvono due vulnerabilità considerate "moderatamente critiche" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto