CVE-2021-21311

SSRF in adminer

CVSS 7.2 HIGHEPSS 90.5%● KEVCWE-918

En resumen

Adminer, una herramienta de gestión de bases de datos, contiene una vulnerabilidad que permite a atacantes hacer que el servidor realice solicitudes a sistemas internos o externos sin autorización. Esto puede exponer datos sensibles o comprometer la infraestructura interna.

Detalle técnico

Una vulnerabilidad de Server-Side Request Forgery (SSRF) en Adminer versiones 4.0.0 a 4.7.8 permite que un atacante, con o sin autenticación previa, induzca al servidor a ejecutar solicitudes maliciosas, accediendo potencialmente a servicios internos, endpoints de metadatos o recursos externos arbitrarios. La vulnerabilidad afecta a distribuciones empaquetadas (adminer.php) que incluyen todos los controladores de base de datos.

Resumen generado y traducido por IA a partir de la descripción oficial.

Adminer is an open-source database management in a single PHP file. In adminer from version 4.0.0 and before 4.7.9 there is a server-side request forgery vulnerability. Users of Adminer versions bundling all drivers (e.g. `adminer.php`) are affected. This is fixed in version 4.7.9.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Productos afectados

vrana · adminer

PoCs públicas encontradas — 2

githubgithub.com/omoknooni/CVE-2021-21311★ 3 githubgithub.com/Sudo-WP/sudowp-adminer★ 1

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/vrana/adminer/commit/ccd2374b0b12bd547417bf0dacdf153826c83351 https://github.com/vrana/adminer/files/5957311/Adminer.SSRF.pdf https://github.com/vrana/adminer/security/advisories/GHSA-x5r2-hj5c-8jx6 https://lists.debian.org/debian-lts-announce/2021/03/msg00002.html https://packagist.org/packages/vrana/adminer https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-21311