Hola, para comenzar phpmyadmin no es una herramienta oficial de mysql asi que es susceptible a fallos en su funcionamiento, no solo en su seguridad ya que este no tiene un soporte oficial.

Segundo, phpmyadmin está escrito sobre php y php tiene muchas limitaciones con respecto al manejo del buffer, tamaño de variables, tiempo máximo de ejecución, flush implícito, problemas con las iteraciones y estados finitos y un largo etc, por ejemplo, cuando haces backups de más de 500mb de base de datos phpmyadmin tiende a fallar y terminas con una descarga corrupta e incompleta que en la última línea te dice que hubo un error de php, también te encontrarás con secuencia de caracteres no permitidos y funciones no existentes debido al uso legacy interno del mismo phpmyadmin.

Tercero, phpmyadmin está muy lejos de ser una herramienta segura, es totalmente desaconsejable tener un panel web expuesto para administrar un servidor, de hecho tener cpanel expuesto es una pésima práctica, para ello debes utlizar las herramientas oficiales, soportadas y con acceso únicamente para el administrador de sistemas, por ejemplo, a traves de una red vpn, tunnel socks5 (vía ssh), etc.

Cuarto, para la gestión de mysql o mariadb puedes utilizar mysql workbench vía tunnel ssh (ya que el servicio de la db nunca debería estar expuesta hacia internet), internamente para hacer respaldos puedes utilizar mysqldump el cual está diseñado para crear respaldos de manera eficiente, rápida y sin conflictos de importación (como si pasa con phpmyadmin y algunos encoding).

Por otro lado, phpmyadmin tiene muchas cosas que proteger, archivos de configuración que están en el mismo directorio raiz público, clases de ejecución de funciones php, etc. Si lo vas a usar es mejor que lo pongas unicamente bajo acceso desde localhost, pero de todas maneras te recomiendo que no lo uses.

Ahora, con respecto a que cosas habría que considerar como punto vulnerable de phpmyadmin puedes dar un vistazo acá:

https://www.cvedetails.com/vulnerability-list/vendor_id-784/cvssscoremin-7/cvssscoremax-7.99/Phpmyadmin.html

Saludos.

En el pasado se encontró muchas vulnerabilidades, acá hay una imagen de todas las que aparecen en exploit-db, quizás si se lo analiza el como funciona se pueda encontrar una nueva vulnerabilidad...




B#

el phpMyAddmin/setup es algo ya bastante viejo.

URI
/phpMyAdmin/setup/index.php

En las nuevas versiones ya no aparece el error.


phpMyAdmin es potencialmente vulnerable como cualquier script php, pero es más peligroso al dar acceso al MySQL/MariaDB, yo tampoco lo expondría públicamente sin proteger antes de alguna manera.

En los paneles de control Plesk lo tienen instalado, pero la URL no es pública, hay que acceder vía Plesk y te genera un token para poder entrar.

Creo que phpMyAdmin es una herramienta muy utilizada y muy práctica, pero potencialmente peligrosa y con muchas limitaciones como WHK comenta (ficheros grandes, etc)

Otra opción es proteger el directorio a sólo una IP, por ejemplo: