Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Importante aggiornamento di sicurezza per phpMyAdmin

cross-site request forgery  cross-site scripting  phpMyAdmin   venerdì, 14 dicembre 2018

phpMyAdmin è un’applicazione Web libera open source scritta in PHP che consente di amministrare un database MySQL o MariaDB tramite un’interfaccia grafica in qualsiasi browser.

È stato recentemente rilasciato un importante aggiornamento di sicurezza per phpMyAdmin che risolve tre vulnerabilità, di cui una di gravità elevata, che potrebbero consentire ad un attaccante autenticato di ottenere informazioni potenzialmente sensibili o eseguire codice arbitrario sul server.

Dettagli delle vulnerabilità (in Inglese):

  • [High] Local file inclusion through transformation feature (CVE-2018-19968)
  • [Medium] XSRF/CSRF vulnerability in phpMyAdmin (CVE-2018-19969)
  • [Medium] A cross-site scripting vulnerability was found in the navigation tree, where an attacker can deliver a payload to a user through a specially-crafted database/table name (CVE-2018-19970)

Risultano variamente affette da queste vulnerabilità le versioni di phpMyAdmin dalla 4.0 alla 4.8.3. Per risolvere queste vulnerabilità è necessario aggiornare l’applicazione alla versione 4.8.3 o applicare le patch predisposte dagli sviluppatori.

Per maggiori informazioni su queste vulnerabilità, sulle versioni affette e sugli aggiornamenti disponibili è possibile consultare i seguenti avvisi di sicurezza di phpMyAdmin (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza critici per Magento

30 novembre 2018

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono diverse vulnerabilità di cui tre critiche e altre 10 di gravità elevata.Leggi tutto

Aggiornamento di sicurezza per Moodle

21 novembre 2018

È stato rilasciato un aggiornamenti di sicurezza che risolve una vulnerabilità di gravità elevata nella piattaforma di e-learning open source Moodle.Leggi tutto

Vulnerabilità multiple in prodotti Splunk

19 ottobre 2018

Sono stati recentemente rilasciati aggiornamenti che correggono gravi vulnerabilità nei prodotti Splunk Enterprise e Splunk Light.Leggi tutto