Crítica
phpMyAdmin unknown expuesto en alc-armenia (control DB potencial)
Categoría
Panel administrativo expuesto
Confianza
verified
Observado
2026-05-03
OWASP
A07:2021 — Identification and Authentication Failures
Resumen
phpMyAdmin versión unknown accesible públicamente. Vector clásico de credential stuffing (admin/admin, root/blank, root/root). Versiones <5.1 acumulan CVEs sin parche.
Por qué importa
phpMyAdmin es la consola web de MySQL/MariaDB. Si tiene credenciales débiles o por defecto, un atacante obtiene acceso completo a la base de datos en una request. Versión específica permite match contra CVE database (CVE-2020-26935, CVE-2018-19968, etc.).
Cómo mitigar
- •Restringir paneles admin por IP/VPN — no por contraseña sola.
- •Añadir 2FA obligatorio para usuarios administrativos.
- •Renombrar paths por defecto donde sea posible (ej. `/wp-admin` → URL custom + plugin de hardening).
- •Monitorear intentos de login y bloquear IPs con fail2ban o equivalente.