Inicio / Content / Boletín de INCIBE-CERT del 08-01-2020

Boletín de INCIBE-CERT del 08-01-2020

Vulnerabilidad de inyección SQL en phpMyAdmin

Fecha de publicación: 
08/01/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • phpMyAdmin, rama de versiones 4.x anteriores a la 4.9.4,
  • phpMyAdmin versión 5.0.0.
Descripción: 

CSW Research Labs ha detectado una vulnerabilidad de criticidad alta que afecta a varias versiones de phpMyAdmin. Un atacante podría realizar una inyección SQL.

Solución: 
  • Versiones de la rama 4.x de phpMyAdmin:
    • Para las versiones 4.8 y 4.9, actualizar a la versión 4.9.4 o superior.
    • Para versiones anteriores, aplicar este parche de seguridad.
  • Versiones de la rama 5.x de phpMyAdmin, actualizar a la versión 5.0.1 o superior.
Detalle: 

La vulnerabilidad ha sido descubierta en la página de cuentas de usuario. Un atacante podría realizar una inyección SQL. Se ha reservado el identificador CVE-2020-5504 para esta vulnerabilidad.

Encuesta valoración

Vulnerabilidad de ejecución de código en e2fsprogs

Fecha de publicación: 
08/01/2020
Importancia: 
4 - Alta
Recursos afectados: 

E2fsprogs, versiones 1.43.3 - 1.45.4.

Descripción: 

La investigadora Lilith, de Cisco Talos, ha descubierto una vulnerabilidad de tipo ejecución de código en e2fsprogs, un paquete de utilidades para el mantenimiento de sistemas de ficheros ext2, ext3 y ext4.

Solución: 

Actualizar e2fsprogs a la versión 1.45.5.

Detalle: 

Una vulnerabilidad de escritura fuera de los límites, al comprobar un sistema de archivos dañado de forma maliciosa, podría permitir a un atacante la ejecución arbitraria de código. Esto probablemente no es explotable en plataformas de 64 bits, pero puede serlo en binarios de 32 bits dependiendo de cómo el compilador disponga las variables de pila. Se ha reservado el identificador CVE-2019-5188 para esta vulnerabilidad.

Encuesta valoración