phpMyAdmin - это бесплатный инструмент администрирования с открытым исходным кодом для MySQL и MariaDB, который широко используется для управления базой данных для веб-сайтов, созданных с помощью WordPress, Joomla и многих других платформ управления контентом.
Обнаруженная исследователем безопасности и пентестером Мануэлем Гарсия Карденасом , эта уязвимость претендует на то, что является уязвимостью подделки межсайтовых запросов (CSRF), также известной как XSRF, известная атака, при которой злоумышленники обманным путем заставляют аутентифицированных пользователей выполнять нежелательные действия.
Идентифицированный как CVE-2019-12922 , уязвимость получила средний рейтинг из-за ее ограниченной области, которая позволяет злоумышленнику удалить только один сервер, настроенный на странице настройки панели phpMyAdmin на сервере жертвы.
Следует отметить, что это не то, о чем вам не стоит сильно беспокоиться, поскольку атака не позволяет злоумышленникам удалить любую базу данных или таблицу, хранящуюся на сервере.
Все, что нужно сделать злоумышленнику, - это отправить созданный URL-адрес целевым веб-администраторам, которые уже вошли в свою панель phpmyAdmin в том же браузере, обманывая их, чтобы неосознанно удалить настроенный сервер, просто щелкнув по нему.
«Злоумышленник может легко создать фальшивую гиперссылку, содержащую запрос, который хочет выполнить от имени пользователя, таким образом делая возможной атаку CSRF из-за неправильного использования метода HTTP», - объясняет Карденас в сообщении для рассылки Full Disclosure список.
Тем не менее, эту уязвимость использовать тривиально, поскольку зная URL-адрес целевого сервера, злоумышленнику не нужно знать никакой другой информации, например, имени баз данных.
Подтверждение концепции использования кода
Недостаток безопасности также заключается в phpMyAdmin 5.0.0-alpha1, который был выпущен в июле 2019 года, сообщил Карденас The Hacker News.
Карденас обнаружил эту уязвимость еще в июне 2019 года, а также сообщил об этом ответственным за проект.
Однако после того, как сопровождающие phpMyAdmin не смогли исправить уязвимость в течение 90 дней после получения уведомления, исследователь решил опубликовать подробности уязвимости и PoC для общественности 13 сентября.
Чтобы устранить эту уязвимость, Карденас рекомендовал «реализовывать в каждом вызове проверку переменной токена, как это уже было сделано в других запросах phpMyAdmin», в качестве решения.
До тех пор, пока сопровождающие не исправят уязвимость, администраторам веб-сайтов и хостинг-провайдерам настоятельно рекомендуется избегать нажатия на любые подозрительные ссылки.