クロスサイトリクエストフォージェリ(CSRF)の脆弱性がphpMyAdminバージョン4.7.x(バージョン4.7.7より前)で発見されました。これにより、悪意のある攻撃者は、ユーザーをだまして悪意を持って作成されたURLをクリックさせることにより、基本的なデータベース操作を実行できます。この脆弱性は、phpMyAdminの以前のCSRF脆弱性にも割り当てられたCVE識別ラベルCVE-2017-1000499の下で組み合わされています。
下に4つの最新の追加があります CVE-2017-1000499 CSRF脆弱性の傘。これらの4つには、現在のユーザーパスワード変更の脆弱性、任意のファイル書き込みの脆弱性、DNS通信チェーンを介したデータ取得の脆弱性、およびすべてのテーブルからすべての行を空にする脆弱性が含まれます。 phpMyAdminはMySQLの管理側を処理するため、これら4つの脆弱性によりデータベース全体が危険にさらされ、悪意のあるユーザーがコードの実行を通じてパスワードの変更、データへのアクセス、データの削除、その他のコマンドを実行できるようになります。
MySQLはかなり一般的なオープンソースのリレーショナルデータベース管理システムであるため、これらの脆弱性(および他の無数のCVE-2017-100049 CSRFの脆弱性)は、特に使いやすさのために多くの企業でよく採用されているソフトウェアのエクスペリエンスを損ないます。効果的なインターフェース。
CSRF攻撃により、知らないユーザーが、悪意のある攻撃者が意図したコマンドをクリックして実行し、続行できるようにします。ユーザーは通常、アクセス許可を要求する特定のアプリケーションが安全な場所にローカルに保存されている、またはダウンロードされているファイルがタイトルでbと主張しているものであると考えるようにだまされます。この種の悪意を持って作成されたURLにより、ユーザーは攻撃者の意図したコマンドを無意識のうちに実行してシステムを危険にさらします。
この脆弱性は ベンダーに知られている また、ユーザー自身の意思でユーザーを阻止できないことは明らかです。そのため、phpMyAdminソフトウェアをリリースするにはアップデートが必要です。この欠陥は、4.7.7より前の4.7.xバージョンに存在します。つまり、まだ古いバージョンを使用している場合は、すぐに使用する必要があります。 アップグレード この重大なグレードの脆弱性を軽減するために、最新バージョンに変更します。
