ISGroup Consultoría de Ciberseguridad

CVE-2021-21311 Adminer database SSRF

CVE-2021-21311 afecta a Adminer, una herramienta ligera de gestión de bases de datos ampliamente distribuida como un único archivo PHP (adminer.php). La vulnerabilidad afecta a las versiones de la 4.0.0 a la 4.7.8 que incluyen todos los controladores de base de datos de forma predeterminada. El fallo reside en la forma en que Adminer gestiona las respuestas de determinados controladores de bases de datos (específicamente Elasticsearch y ClickHouse), lo que puede exponer respuestas HTTP sin procesar en los mensajes de error. El problema se solucionó en Adminer 4.7.9. Adminer suele ser expuesto directamente a Internet por los administradores por comodidad, lo que aumenta significativamente el riesgo de explotación. Fue añadido al catálogo de vulnerabilidades explotadas conocidas de CISA el 29 de septiembre de 2025.

ProductoAdminer
Fecha2025-10-06 17:18:19
Información
  • Corrección disponible
  • Explotación activa

Resumen técnico

Esta es una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) con una puntuación base CVSS v3 de 7.2 (Alta). La vulnerabilidad permite a un atacante remoto no autenticado forzar a Adminer a realizar solicitudes HTTP arbitrarias en nombre del servidor en el que se está ejecutando. La explotación puede conducir a: Acceso a servicios y API disponibles solo internamente, Exfiltración de datos confidenciales (ej. servicios de metadatos en la nube en 169.254.169.254), Escaneo de puertos y movimiento lateral dentro de redes internas.

Los exploits y pruebas de concepto están disponibles públicamente. Las organizaciones que exponen puntos finales adminer.php sin restricciones están particularmente en riesgo.

Recomendaciones

  1. Aplicar el parche inmediatamente: actualizar Adminer a la versión 4.7.9 o superior para corregir la vulnerabilidad.
  2. Limitar el acceso: restringir el acceso a Adminer (adminer.php) utilizando listas de IP permitidas, VPN o controles de autenticación.
  3. Distribuir compilaciones mínimas: utilizar compilaciones reducidas de Adminer con solo los controladores de base de datos necesarios, evitando el archivo adminer.php completo.
  4. Controles de red: bloquear las conexiones salientes desde los hosts de Adminer hacia rangos de IP confidenciales (ej. servicios de metadatos en la nube).
  5. Monitoreo: implementar registro y monitoreo avanzados para detectar solicitudes HTTP sospechosas originadas por Adminer o errores que contengan respuestas HTTP sin procesar.

[Callforaction-THREAT-Footer]

In