جزیيات آسیب‌پذیری روز صفر phpMyadmin منتشر شد

0
1286
جزیيات آسیب‌پذیری روز صفر phpMyadmin منتشر شد

یک محقق امنیتی اخیرا جزیيات آسیب‌پذیری روز صفر phpMyadmin که تاکنون پچ نشده است را منتشر کرد. phpMyAdmin محبوب‌ترین اپلیکیشن مدیریت پایگاه داده‌های MySQL و MariaDB است. 

phpMyAdmin ابزار مدیریت متن‌باز و رایگان برای پایگا‌ه‌ داده‌‌های MySQL و MariaDB و مدیریت پایگاه داده‌ وب‌سایت‌‌ها است.

آسیب‌پذیری این ابزار از نوع CSRF است که هکر مخرب با سواستفاده از این ضعف امنیتی می‌تواند کاربرهای احراز هویت شده را فریب دهد تا کار ناخواسته‌ای را انجام دهند. 

آسیب‌پذیری روز صفر phpMyadmin با شناسه  CVE-2019-12922 از نظر شدت «متوسط» رتبه‌بندی می‌شود، زیرا هکر مخرب تنها می‌تواند سرورهایی که در پنل تنظیمات phpMyadmin هستند را پاک کند. یعنی خرابکار نمی‌تواند تمام پایگاه‌ داده‌ها و جدول‌های ذخیره شده روی سرور را پاک کند. 

[box type=”tip”]۵ نکته برای امنیت سرور مجازی و اختصاصی [/box]

تمام کاری که خرابکار باید انجام دهد ارسال URL دستکاری شده به مدیر سرور مورد هدف است که روی همان مرورگری که وارد صفحه تنظیمات phpMyadmin شده است این URL را نیز باز کند.

آسیب‌پذیری اخیر phpMyadmin تمام نسخه‌های این ابزار شامل آخرین نسخه  4.9.0.1 را در برمیگیرد و هنوز پچ نشده است. بنابرین دقت کنید که روی هر لینکی کلیک نکنید.

منبع : https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html

مقاله قبلیگزینه Delete for Everyone واتزاپ فایلهای مدیا روی آیفون را پاک نمی‌کند
مقاله بعدینسخه جدید مروگر گوگل کروم منتشر شد – ۴ آسیب‌پذیری بحرانی پچ شده است

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.