یک محقق امنیتی اخیرا جزیيات آسیبپذیری روز صفر phpMyadmin که تاکنون پچ نشده است را منتشر کرد. phpMyAdmin محبوبترین اپلیکیشن مدیریت پایگاه دادههای MySQL و MariaDB است.
phpMyAdmin ابزار مدیریت متنباز و رایگان برای پایگاه دادههای MySQL و MariaDB و مدیریت پایگاه داده وبسایتها است.
آسیبپذیری این ابزار از نوع CSRF است که هکر مخرب با سواستفاده از این ضعف امنیتی میتواند کاربرهای احراز هویت شده را فریب دهد تا کار ناخواستهای را انجام دهند.
آسیبپذیری روز صفر phpMyadmin با شناسه CVE-2019-12922 از نظر شدت «متوسط» رتبهبندی میشود، زیرا هکر مخرب تنها میتواند سرورهایی که در پنل تنظیمات phpMyadmin هستند را پاک کند. یعنی خرابکار نمیتواند تمام پایگاه دادهها و جدولهای ذخیره شده روی سرور را پاک کند.
[box type=”tip”]۵ نکته برای امنیت سرور مجازی و اختصاصی [/box]
تمام کاری که خرابکار باید انجام دهد ارسال URL دستکاری شده به مدیر سرور مورد هدف است که روی همان مرورگری که وارد صفحه تنظیمات phpMyadmin شده است این URL را نیز باز کند.
آسیبپذیری اخیر phpMyadmin تمام نسخههای این ابزار شامل آخرین نسخه 4.9.0.1 را در برمیگیرد و هنوز پچ نشده است. بنابرین دقت کنید که روی هر لینکی کلیک نکنید.
منبع : https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html
