Inicio / Content / Boletín de INCIBE-CERT del 05-06-2019

Boletín de INCIBE-CERT del 05-06-2019

Vulnerabilidades SQLi y CSRF en phpMyAdmin

Fecha de publicación: 
05/06/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • Las versiones de phpMyAdmin anteriores a 4.8.6 (CVE-2019-11768)
  • Todas las versiones de phpMyAdmin anteriores a 4.9.0, al menos desde la versión 4.0 (CVE-2019-12616)
Descripción: 

Se han encontrado dos vulnerabilidades una de ellas crítica en phpMyAdmin:

  • William Desportes, miembro del equipo de phpMyAdmin, ha reportado una vulnerabilidad del tipo Inyección de SQL en la función Designer.
  • Mauro Tempesta encontró una vulnerabilidad calificada como crítica del tipo CSRF (Cross-Site Request Forgery o falsificación de petición en sitios cruzados) en el formulario de inicio de sesión.
Solución: 

Se recomienda actualizar el producto o aplicar los parches, respectivamente:

  • Actualice a phpMyAdmin 4.8.6 o posterior o aplique el parche para la vulnerabilidad de tipo inyección SQL.
  • Actualice a phpMyAdmin 4.9.0 o posterior o aplique el parche para la vulnerabilidad de tipo CSRF.
Detalle: 
  • La vulnerabilidad de inyección SQL permite utilizar un nombre de base de datos especialmente diseñado para desencadenar un ataque de este tipo. Se ha asignado el CVE-2019-11768 a esta vulnerabilidad.
  • La vulnerabilidad de CSRF permite a un atacante engañar al usuario, por ejemplo a través de una etiqueta <img> rota en el formulario que apunta a la base de datos phpMyAdmin de la víctima, el atacante podría entregar una carga útil o payload (como una instrucción INSERT o DELETE específica). Se ha asignado el CVE-2019-12616 a esta vulnerabilidad.

Encuesta valoraciĂ³n

Vulnerabilidad en Jazz for Service Management (JazzSM) de IBM

Fecha de publicación: 
05/06/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Jazz for Service Management (JazzSM), versiones 1.1.3 - 1.1.3.2
Descripción: 

IBM ha publicado una vulnerabilidad que afecta a su producto Jazz for Service Management (JazzSM) que podría permitir a un atacante remoto realizar ataques de phishing, utilizando un ataque de redireccionamiento abierto.

Solución: 
Detalle: 
  • IBM Jazz for Service Management podría permitir a un atacante remoto realizar ataques de phishing, utilizando un ataque de redireccionamiento abierto. Al persuadir a una víctima para que visite un sitio web especialmente diseñado, un atacante remoto podría falsificar la URL mostrada y redirigir al usuario a un sitio web malicioso en el que parece confiar. Esto podría permitirle obtener información sensible o realizar nuevos ataques contra la víctima. Se ha reservado el identificador CVE-2019-4201 para esta vulnerabilidad.

Encuesta valoración