برنامهی phpMyAdmin یک برنامهی بسیار معروف برای مدیریت پایگاه دادههای MySQL است. به تازگی یک آسیبپذیری حیاتی در این برنامه کشف شده که بهرهبرداری از آن به مهاجم از راه دور اجازه میدهد تا عملیات خطرناکی را بر روی پایگاه داده انجام دهد و برای این کار کافی است تا مدیر سیستم بر روی یک لینک کلیک کند. این آسیبپذیری توسط یک محقق هندی کشف شده و یک اشکال جعل درخواست بین-سایت (CSRF) محسوب میشود و نسخههای ۴٫۷٫x از phpMyAdmin را تحت تاثیر قرار داده است.
این حملات که XSRF نیز نامیده میشود، به حملهای اطلاق میشود که مهاجم یک کاربر احرازهویتشده را وادار میکند تا عملیات ناخواسته و مخربی را اجرا کند. براساس مشاورهنامهای که منتشر شده، مهاجم میتواند با ترغیب کاربر برای کلیک بر روی یک لینک، عملیات مخربی مانند حذف رکوردها و یا حذف جداول را اجرا کند. phpMyAdmin یک ابزار متنباز و رایگان برای مدیریت پایگاه دادههای MySQL و MariaDB است و بهطور گسترده در طراحی وبسایت با ابزارهای وردپرس و جوملا، برای مدیریت پایگاه داده مورد استفاده قرار میگیرد.
گفتههای حاکی از این است که بهرهبرداری از این آسبپذیری ساده نیست. چرا که برای طراحی لینکی که کاربر بر روی آن کلیک کند و حملهی CSRF اجرا شود، مهاجم نیازمند این است که از قبل نام پایگاه داده و جداول مورد نظر را بداند.این محقق آسیبپذیری را به گروه phpMyAdmin گزارش داده و آنها نسخهی ۴.۷.۷ را برای وصلهی آن منتشر کردند. بنابراین به مدیران سیستمها توصیه میشود تا هرچه سریعتر نرمافزارهای خود را بهروزرسانی کنند.