یک محقق امنیتی اخیرا جزییات آسیب‌پذیری روز صفر phpMyadmin که تاکنون پچ نشده است را منتشر کرد. phpMyAdmin محبوب‌ترین اپلیکیشن مدیریت پایگاه داده‌های MySQL و MariaDB است. 

phpMyAdmin ابزار مدیریت متن‌باز و رایگان برای پایگا‌ه‌ داده‌‌های MySQL و MariaDB و مدیریت پایگاه داده‌ وب‌سایت‌‌ها است.

آسیب‌پذیری این ابزار از نوع CSRF است که هکر مخرب با سواستفاده از این ضعف امنیتی می‌تواند کاربرهای احراز هویت شده را فریب دهد تا کار ناخواسته‌ای را انجام دهند. 

آسیب‌پذیری روز صفر phpMyadmin با شناسه  CVE-2019-12922 از نظر شدت «متوسط» رتبه‌بندی می‌شود، زیرا هکر مخرب تنها می‌تواند سرورهایی که در پنل تنظیمات phpMyadmin هستند را پاک کند. یعنی خرابکار نمی‌تواند تمام پایگاه‌ داده‌ها و جدول‌های ذخیره شده روی سرور را پاک کند. 

تمام کاری که خرابکار باید انجام دهد ارسال URL دستکاری شده به مدیر سرور مورد هدف است که روی همان مرورگری که وارد صفحه تنظیمات phpMyadmin شده است این URL را نیز باز کند.

آسیب‌پذیری اخیر phpMyadmin تمام نسخه‌های این ابزار شامل آخرین نسخه  ۴.۹.۰.۱ را در برمیگیرد و هنوز پچ نشده است. بنابرین دقت کنید که روی هر لینکی کلیک نکنید.

نظرات

نظر (به‌وسیله فیس‌بوک)