![\"phpmyadmin](\"https:\/\/1.bp.blogspot.com\/-n0U5_KCFyfM\/XA_Puru2YjI\/AAAAAAAAy0c\/UU_kWl4J4WQxiiLdG5MQrawJvlpHbtBaQCLcBGAs\/s728-e100\/phpmyadmin-security-update.png\" "\\"phpmyadmin")
<\/a><\/div>\nFonte: The Hacker News (2018)<\/p>\n
Os detalhes das tr\u00eas vulnerabilidades rec\u00e9m descobertas do phpMyAdmin s\u00e3o descritas abaixo:<\/p>\n
1.) Inclus\u00e3o de arquivos locais (CVE-2018-19968)<\/strong> – as vers\u00f5es phpMyAdmin de pelo menos 4.0 a 4.8.3 incluem uma falha de inclus\u00e3o de arquivo local que pode permitir que um atacante remoto leia conte\u00fados sens\u00edveis de arquivos locais no servidor por meio de seu recurso de transforma\u00e7\u00e3o .<\/p>\n \u201cO invasor deve ter acesso \u00e0s tabelas do phpMyAdmin Configuration Storage, embora possam ser facilmente criadas em qualquer banco de dados ao qual o invasor tenha acesso. Um invasor deve ter credenciais v\u00e1lidas para efetuar login no phpMyAdmin; essa vulnerabilidade n\u00e3o permite que um invasor contorne o sistema de login. \u201d<\/p>\n 2.) Cross-Site Request Falsifica\u00e7\u00e3o (CSRF), XSRF (CVE-2018-19969)<\/strong> – o phpMyAdmin vers\u00f5es 4.7.0 a 4.7.6 e 4.8.0 a 4.8.3 inclui uma falha CSRF e XSRF, que se explorada, poderia permitir que invasores “executem opera\u00e7\u00f5es SQL prejudiciais, como renomear bancos de dados, criar novas tabelas, rotinas, excluir p\u00e1ginas, adicionar, excluir usu\u00e1rios, atualizar senhas de usu\u00e1rios, matar processos SQL” apenas induzindo as v\u00edtimas a abrirem links especialmente criados.<\/p>\n 3.) Cross-site scripting (XSS) (CVE-2018-19970)<\/strong> – O software tamb\u00e9m inclui uma vulnerabilidade de script entre sites em sua \u00e1rvore de navega\u00e7\u00e3o, que afeta vers\u00f5es de pelo menos 4.0 a 4.8.3, permitindo o invasor injetar c\u00f3digo malicioso no painel atrav\u00e9s de um nome de banco de dados e tabela especialmente criado.<\/p>\n Para sanar todas as vulnerabilidades de seguran\u00e7a listadas acima, os desenvolvedores do phpMyAdmin lan\u00e7aram a \u00faltima vers\u00e3o 4.8.4, bem como patches separados para algumas vers\u00f5es anteriores.<\/p>\n \u00c9 altamente recomendado que os administradores de sites e provedores de hospedagem instalem as atualiza\u00e7\u00f5es ou corre\u00e7\u00f5es mais recentes imediatamente.<\/p>\n