В phpMyAdmin версии 4.7.x (до версии 4.7.7) обнаружена уязвимость подделки межсайтовых запросов (CSRF), с помощью которой злоумышленники могут выполнять фундаментальные операции с базой данных, заставляя пользователей нажимать на вредоносные URL-адреса. Эта уязвимость объединена под идентификационной меткой CVE CVE-2017-1000499, которая также была присвоена предыдущим уязвимостям CSRF в phpMyAdmin.
Четыре последних дополнения CVE-2017-1000499 Зонтик уязвимости CSRF. Эти четыре включают уязвимость модификации текущего пароля пользователя, уязвимость произвольной записи файла, уязвимость извлечения данных через цепочки связи DNS и уязвимость пустых всех строк из всех таблиц. Поскольку phpMyAdmin работает с административной стороной MySQL, эти четыре уязвимости подвергают всю базу данных высокому риску, позволяя злоумышленнику изменять пароли, получать доступ к данным, удалять данные и выполнять другие команды посредством выполнения кода.
Поскольку MySQL является довольно распространенной системой управления реляционными базами данных с открытым исходным кодом, эти уязвимости (наряду с бесчисленным множеством других CSRF-уязвимостей CVE-2017-100049) ставят под угрозу работу программного обеспечения, которое было хорошо принято многими предприятиями, особенно из-за простоты использования и эффективный интерфейс.
Атаки CSRF заставляют неосведомленного пользователя выполнить команду, которую намерен злоумышленник, щелкнув ее, чтобы позволить ей продолжить. Обычно пользователей вводят в заблуждение, думая, что конкретное приложение, запрашивающее разрешения, хранится локально в безопасном месте или что загружаемый файл - это то, что указано на b в названии. Вредоносно созданные URL-адреса такого типа заставляют пользователей выполнять намеченные злоумышленником команды, неосознанно ставя под угрозу систему.
Эта уязвимость известно продавцу и очевидно, что пользователь не может быть предотвращен по собственной инициативе, поэтому для выпуска программного обеспечения phpMyAdmin требуется обновление. Этот недостаток существует в версиях 4.7.x до 4.7.7, что означает, что тем, кто все еще использует более старые версии, следует немедленно Обновить до последней версии, чтобы уменьшить уязвимость критического уровня.
