{"id":12928,"date":"2020-06-05T08:57:31","date_gmt":"2020-06-05T12:57:31","guid":{"rendered":"https:\/\/netquatro.com\/blog\/?p=12928"},"modified":"2025-02-08T10:50:29","modified_gmt":"2025-02-08T15:50:29","slug":"vulnerabilidad-encontrada-en-mylittleadmin","status":"publish","type":"post","link":"https:\/\/netquatro.com\/blog\/vulnerabilidad-encontrada-en-mylittleadmin\/","title":{"rendered":"Vulnerabilidad encontrada en MyLittleAdmin"},"content":{"rendered":"\r\n<p>El 15 de Mayo del 2020, se encontr\u00f3 una vulnerabilidad en MyLittleAdmin versi\u00f3n 3.8, el cual permite a un atacante sin autenticarse en los servidores de Windows, realizar carga y ejecuciones de archivos en el servidor. Se sospecha que en versiones anteriores tambi\u00e9n est\u00e1 presente la vulnerabilidad.<\/p>\r\n<p>MyLittleAdmin es un gestor de base de datos de MS SQL Server basado en la web. Lamentablemente la herramienta no tiene actualizaciones desde el 2013.<\/p>\r\n<p>Por nuestra parte hemos controlado la vulnerabilidad, desinstalando la aplicaci\u00f3n por recomendaci\u00f3n de Plesk. Ya que MyLittleAdmin a\u00fan no ha realizado ning\u00fan parche.<\/p>\r\n<p>Luego de hacer una revisi\u00f3n exhaustiva en nuestros servidores, no se ha encontrado ning\u00fan indicio de acceso no autorizado.<\/p>\r\n<p>Nuestra recomendaci\u00f3n para los clientes que usaban esta herramienta a trav\u00e9s del \u00e1rea cliente, es que realice sus operaciones con base de datos directamente con la aplicaci\u00f3n de <span style=\"color: #3366ff;\"><a style=\"color: #3366ff;\" href=\"https:\/\/docs.microsoft.com\/en-us\/sql\/ssms\/tutorials\/connect-query-sql-server?view=sql-server-ver15\" target=\"_blank\" rel=\"noopener\">Microsoft SQL Management Studio<\/a><\/span>.<\/p>\r\n<p>Tambi\u00e9n puede ampliar la informaci\u00f3n:<\/p>\r\n<p><span style=\"color: #3366ff;\"><a style=\"color: #3366ff;\" href=\"https:\/\/support.plesk.com\/hc\/en-us\/articles\/360013996240\" target=\"_blank\" rel=\"noopener\">https:\/\/support.plesk.com\/hc\/en-us\/articles\/360013996240<\/a><\/span><\/p>\r\n<p><a href=\"https:\/\/ssd-disclosure.com\/ssd-advisory-mylittleadmin-preauth-rce\/\" target=\"_blank\" rel=\"noopener\"><span style=\"color: #3366ff;\">https:\/\/ssd-disclousure.com\/ssd-advisory-mylittleadmin-preauth-rce\/<\/span><\/a><\/p>\r\n<p><span style=\"color: #3366ff;\"><a style=\"color: #3366ff;\" href=\"https:\/\/portswigger.net\/daily-swig\/mylittleadmin-has-a-big-unpatched-security-flaw\" target=\"_blank\" rel=\"noopener\">https:\/\/portswigger.net\/daily-swig\/mylittleadmin-has-a-big-unpatched-security-flaw<\/a><\/span><\/p>\r\n<p>&nbsp;<\/p>\r\n","protected":false},"excerpt":{"rendered":"<p>El 15 de Mayo del 2020, se encontr\u00f3 una vulnerabilidad en MyLittleAdmin versi\u00f3n 3.8, el cual permite a un atacante sin autenticarse en los servidores de Windows, realizar carga y ejecuciones de archivos en el servidor. Se sospecha que en versiones anteriores tambi\u00e9n est\u00e1 presente la vulnerabilidad.<\/p>\n<p>MyLittleAdmin es un gestor de base de datos de MS SQL Server basado en la web. Lamentablemente la herramienta no tiene actualizaciones desde el 2013.<\/p>\n<p>Por nuestra parte hemos controlado la vulnerabilidad, desinstalando la aplicaci\u00f3n por recomendaci\u00f3n de Plesk. Ya que MyLittleAdmin a\u00fan no ha realizado ning\u00fan parche.<\/p>\n<p>Luego de hacer una revisi\u00f3n exhaustiva en nuestros servidores, no se ha encontrado ning\u00fan indicio de acceso no autorizado.<\/p>\n<p>Nuestra recomendaci\u00f3n para los clientes que usaban esta herramienta a trav\u00e9s del \u00e1rea cliente, es que realice sus operaciones con base de datos directamente con la aplicaci\u00f3n de Microsoft SQL Management Studio.<\/p>\n<p>Tambi\u00e9n puede ampliar la informaci\u00f3n:<\/p>\n<p>https:\/\/support.plesk.com\/hc\/en-us\/articles\/360013996240<\/p>\n<p>https:\/\/ssd-disclousure.com\/ssd-advisory-mylittleadmin-preauth-rce\/<\/p>\n<p>https:\/\/portswigger.net\/daily-swig\/mylittleadmin-has-a-big-unpatched-security-flaw<\/p>\n","protected":false},"author":1,"featured_media":12929,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[389,19],"tags":[5820],"class_list":["post-12928","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","category-seguridad-digital","tag-mylittleadmin"],"acf":[],"_links":{"self":[{"href":"https:\/\/netquatro.com\/blog\/wp-json\/wp\/v2\/posts\/12928","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/netquatro.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/netquatro.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/netquatro.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/netquatro.com\/blog\/wp-json\/wp\/v2\/comments?post=12928"}],"version-history":[{"count":0,"href":"https:\/\/netquatro.com\/blog\/wp-json\/wp\/v2\/posts\/12928\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/netquatro.com\/blog\/wp-json\/wp\/v2\/media\/12929"}],"wp:attachment":[{"href":"https:\/\/netquatro.com\/blog\/wp-json\/wp\/v2\/media?parent=12928"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/netquatro.com\/blog\/wp-json\/wp\/v2\/categories?post=12928"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/netquatro.com\/blog\/wp-json\/wp\/v2\/tags?post=12928"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}