خلاصه: به تازگی توسعهدهندگان phpMyAdmin برای وصله کردن یک آسیبپذیری جدی بهروزرسانیای را منتشر کردهاند. این آسیبپذیری میتواند توسط مهاجمان برای انجام عملیات مخرب مربوط به پایگاه داده مورد بهرهبرداری قرار گیرد. برای اینکه حمله شروع شود، تنها لازم است که admin بر روی یک URL ساختگی خاص کلیک کند. توصیه میشود که بهروزرسانیهای لازم را انجام دهید.
به تازگی توسعهدهندگان phpMyAdmin برای وصله کردن یک آسیبپذیری جدی بهروزرسانیای را منتشر کردهاند. این آسیبپذیری میتواند توسط مهاجمان برای انجام عملیات مخرب مربوط به پایگاه داده مورد بهرهبرداری قرار گیرد.
phpMyAdmin یک ابزار متنباز رایگان برای مدیریت پایگاهدادهی MySQL است که در هر ماه بیش از ۲۰۰۰۰۰ بار دانلود میشود. این ابزار یکی از بهترین و رایجترین ابزار مدیریت پایگاهدادهی MySQL میباشد.
یک محقق هندی به تازگی کشف کرده است که phpMyAdin تحت تاثیر یک آسیبپذیری جعل درخواست بین-وبگاهی (Cross-site request forgery) است . این آسیبپذیری میتواند توسط یک مهاجم برای حذف جداول، حذف رکوردها و انجام دیگر عملیات پایگاهدادهای مورد بهرهبرداری قرار گیرد.
برای اینکه حمله شروع شود، لازم است که یک admin احراز اصالت شده بر روی یک URL ساختگی خاص کلیک کند. لازم به ذکر است که این حمله تا زمانی که کاربر به رابط کاربری cPanel وارد شده و دسترسی داشته باشد، حتی اگر phpMyAdmin پس از استفاده بسته شود، میتواند ادامه داشته باشد.
وجود این نوع از حملات به خاطر این واقعیت است که نسخههای آسیبپذیر phpMyAdmin از درخواستهای GET برای عملیات پایگاه داده استفاده میکنند، اما در فراهم کردن محافظت CSRF شکست میخورند.
محققین همچنین متوجه شدند که URLهای مرتبط با عملیات پایگاهداده که از طریق phpMyAdmin انجام شدهاند در تاریخچهی مرورگر ذخیره میشوند که این میتواند باعث ایجاد خطرات امنیتی شود.
توسعهدهندگان phpMyAdmin آسیبپذیری CSRF را در نسخهی ۴.۷.۷ رفع کردهاند. لازم به ذکر است که تمام نسخههای ۴.۷.x قبلی تحت تاثیر این آسیبپذیری قرار دارند، بنابراین به همهی کاربران توصیه میشود که بهروزرسانیهای لازم را انجام داده یا وصلههای موجود را اعمال کنند.
