PhpMyAdmin sürüm 4.7.x'te (sürüm 4.7.7'den önce), kötü niyetli saldırganların kullanıcıları kötü amaçla oluşturulmuş URL'leri tıklatmaları için kandırarak temel veritabanı işlemlerini gerçekleştirebildiği bir Siteler Arası İstek Sahteciliği (CSRF) güvenlik açığı bulundu. Bu güvenlik açığı, phpMyAdmin'deki önceki CSRF güvenlik açıklarına atanan CVE kimlik etiketi CVE-2017-1000499 altında birleştirilmiştir.
Altında en son dört ekleme var CVE-2017-1000499 CSRF güvenlik açığı şemsiyesi. Bu dördü, mevcut bir kullanıcı parola değiştirme güvenlik açığı, rastgele bir dosya yazma güvenlik açığı, DNS iletişim zincirleri güvenlik açığı üzerinden veri alma ve tüm tablolardaki tüm satırların boş olması güvenlik açığını içerir. PhpMyAdmin, MySQL'in yönetim tarafı ile ilgilendiğinden, bu dört güvenlik açığı tüm veritabanını yüksek risk altına sokarak kötü niyetli bir kullanıcının parolaları değiştirmesine, verilere erişmesine, verileri silmesine ve kod yürütme yoluyla diğer komutları yürütmesine olanak tanır.
MySQL oldukça yaygın bir açık kaynaklı ilişkisel veritabanı yönetim sistemi olduğundan, bu güvenlik açıkları (sayısız diğer CVE-2017-100049 CSRF güvenlik açıkları ile birlikte), özellikle kullanımı kolay olduğu için birçok kuruluş tarafından iyi benimsenen yazılım deneyimini tehlikeye atmaktadır. ve etkili arayüz.
CSRF saldırıları, bilmeyen bir kullanıcının, kötü niyetli bir saldırganın devam etmesine izin vermek için üzerine tıklayarak niyetinde olduğu bir komutu yürütmesine neden olur. Kullanıcılar, genellikle izinleri isteyen belirli bir uygulamanın yerel olarak güvenli bir yerde depolandığını veya indirilmekte olan bir dosyanın başlıkta iddia ettiği şey olduğunu düşünmek için kandırılırlar. B. Kötü niyetli bir şekilde oluşturulmuş bu tür URL'ler, kullanıcıların farkında olmadan sistemi tehlikeye atarak saldırganın amaçladığı komutları gerçekleştirmelerine neden olur.
Bu güvenlik açığı satıcı tarafından bilinir ve kullanıcının kendi isteğiyle engellenemeyeceği açıktır, bu yüzden phpMyAdmin yazılımının yayınlanması için bir güncelleme gerektirir. Bu kusur 4.7.7'den önceki 4.7.x sürümlerinde mevcuttur, bu da eski sürümleri kullanmaya devam edenlerin hemen Yükselt bu kritik düzeydeki güvenlik açığını azaltmak için en son sürüme.
