جزییات آسیب‌پذیری روز صفر phpMyadmin منتشر شد

0
20
جزیيات آسیب‌پذیری روز صفر phpMyadmin منتشر شد

یک محقق امنیتی اخیرا جزییات آسیب‌پذیری روز صفر phpMyadmin که تاکنون پچ نشده است را منتشر کرد. phpMyAdmin محبوب‌ترین اپلیکیشن مدیریت پایگاه داده‌های MySQL و MariaDB است. 

phpMyAdmin ابزار مدیریت متن‌باز و رایگان برای پایگا‌ه‌ داده‌‌های MySQL و MariaDB و مدیریت پایگاه داده‌ وب‌سایت‌‌ها است.

آسیب‌پذیری این ابزار از نوع CSRF است که هکر مخرب با سواستفاده از این ضعف امنیتی می‌تواند کاربرهای احراز هویت شده را فریب دهد تا کار ناخواسته‌ای را انجام دهند. 

آسیب‌پذیری روز صفر phpMyadmin با شناسه  CVE-2019-12922 از نظر شدت «متوسط» رتبه‌بندی می‌شود، زیرا هکر مخرب تنها می‌تواند سرورهایی که در پنل تنظیمات phpMyadmin هستند را پاک کند. یعنی خرابکار نمی‌تواند تمام پایگاه‌ داده‌ها و جدول‌های ذخیره شده روی سرور را پاک کند. 

[box type=”tip”]۵ نکته برای امنیت سرور مجازی و اختصاصی [/box]

تمام کاری که خرابکار باید انجام دهد ارسال URL دستکاری شده به مدیر سرور مورد هدف است که روی همان مرورگری که وارد صفحه تنظیمات phpMyadmin شده است این URL را نیز باز کند.

آسیب‌پذیری اخیر phpMyadmin تمام نسخه‌های این ابزار شامل آخرین نسخه  ۴.۹.۰.۱ را در برمیگیرد و هنوز پچ نشده است. بنابرین دقت کنید که روی هر لینکی کلیک نکنید.

منبع : https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html

نظر بدهید

لطفا نظر خود را وارد کنید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.