یک آسیب پذیری بحرانی در برنامه phpmyadmin شناسایی و گزارش شده است. برنامه phpmyadmin یکی از رایج ترین برنامه ها برای مدیریت پایگاه داده MySQL است. این آسیب پذیری به مهاجم راه دور امکان می دهد تا عملیات خطرناک بر روی پایگاه داده (مانند حذف رکورد یا پاک کردن جدول) انجام دهند که این کار با فریب راهبر پایگاه داده برای کلیک بر روی یک لینک آلوده اتفاق می افتد.
این آسیب پذیری موجب انجام یک حمله cross-site request forgery (CSRF) می شود که توسط یک محقق هندی شناسایی شده و بر روی نسخه های 4.7.x (قبل از 4.7.7) قابل انجام است. در حمله CSRF مهاجم یک کاربر احرازهویت شده را به انجام یک عمل نامطلوب ترغیب می کند.
برنامه phpmyadmin یک ابزار رایگان و متن باز است که برای مدیریت پایگاه داده MySQL وMariaDB که در سیستم های مدیریت محتوا مورد استفاده واقع می شوند، کاربرد دارد.
یکی از قابلیت های phpmyadmin استفاده از یک درخواست Get و سپس یک درخواست Post برای کار با پایگاه داده است. درصورت ارسال درخواست Post از طریق URL، امکان انجام یک حمله مهندسی اجتماعی علیه راهبر پایگاه داده و ترغیب وی برای کلیک بر روی لینک آلوده وجود دارد که در پشت این کار، انجام عملیات پایگاه داده مانندDROP TABLE است که موجب حذف کامل یک جدول می شود. همچنین درخواست های Get حتماً بایستی در مقابل حمله CSRF ایمن شوند. البته برای انجام یک حمله CSRF لازم است که مهاجم از اسامی پایگاه داده و جداول آن اطلاع داشته باشد. به هر ترتیب راهبران پایگاه داده لازم است هر چه سریعتر محصول خود را به نسخه 4.7.7 یا بعد از آن به روزرسانی نمایند.
- منبع:
https://thehackernews.com/2018/01/phpmyadmin-hack.html