Vulnerabilidad encontrada en MyLittleAdmin

vulnerabilidad-mylittleadmin

El 15 de Mayo del 2020, se encontró una vulnerabilidad en MyLittleAdmin versión 3.8, el cual permite a un atacante sin autenticarse en los servidores de Windows, realizar carga y ejecuciones de archivos en el servidor. Se sospecha que en versiones anteriores también está presente la vulnerabilidad.

MyLittleAdmin es un gestor de base de datos de MS SQL Server basado en la web. Lamentablemente la herramienta no tiene actualizaciones desde el 2013.

Por nuestra parte hemos controlado la vulnerabilidad, desinstalando la aplicación por recomendación de Plesk. Ya que MyLittleAdmin aún no ha realizado ningún parche.

Luego de hacer una revisión exhaustiva en nuestros servidores, no se ha encontrado ningún indicio de acceso no autorizado.

Nuestra recomendación para los clientes que usaban esta herramienta a través del área cliente, es que realice sus operaciones con base de datos directamente con la aplicación de Microsoft SQL Management Studio.

También puede ampliar la información:

https://support.plesk.com/hc/en-us/articles/360013996240

https://ssd-disclousure.com/ssd-advisory-mylittleadmin-preauth-rce/

https://portswigger.net/daily-swig/mylittleadmin-has-a-big-unpatched-security-flaw