کشف آسیب‌پذیری حیاتی در نرم‌افزار مدیریت پایگاه‌ داده‌ی phpMyAdmin

کشف آسیب‌پذیری حیاتی در نرم‌افزار مدیریت پایگاه‌ داده‌ی phpMyAdmin

پنج شنبه, ۱۴ دی, ۱۳۹۶ ساعت ۹:۲۸

 

برنامه‌ی phpMyAdmin یک برنامه‌ی بسیار معروف برای مدیریت پایگاه داده‌های MySQL است. به تازگی یک آسیب‌پذیری حیاتی در این برنامه کشف شده که بهره‌برداری از آن به مهاجم از راه دور اجازه می‌دهد تا عملیات خطرناکی را بر روی پایگاه داده انجام دهد و برای این کار کافی است تا مدیر سیستم بر روی یک لینک کلیک کند. این آسیب‌پذیری توسط یک محقق هندی کشف شده و یک اشکال جعل درخواست بین-سایت (CSRF) محسوب می‌شود و نسخه‌های ۴٫۷٫x از phpMyAdmin را تحت تاثیر قرار داده است.


این حملات که XSRF نیز نامیده می‌شود، به حمله‌ای اطلاق می‌شود که مهاجم یک کاربر احرازهویت‌شده را وادار می‌کند تا عملیات ناخواسته و مخربی را اجرا کند. براساس مشاوره‌نامه‌ای که منتشر شده، مهاجم می‌تواند با ترغیب کاربر برای کلیک بر روی یک لینک، عملیات مخربی مانند حذف رکوردها و یا حذف جداول را اجرا کند. phpMyAdmin یک ابزار متن‌باز و رایگان برای مدیریت پایگاه داده‌های MySQL و MariaDB است و به‌طور گسترده در طراحی وب‌سایت با ابزارهای وردپرس و جوملا، برای مدیریت پایگاه داده مورد استفاده قرار می‌گیرد. 


گفته‌های حاکی از این است که بهره‌برداری از این آسب‌پذیری ساده نیست. چرا که برای طراحی لینکی که کاربر بر روی آن کلیک کند و حمله‌ی CSRF اجرا شود، مهاجم نیازمند این است که از قبل نام پایگاه داده و جداول مورد نظر را بداند.این محقق آسیب‌پذیری را به گروه phpMyAdmin گزارش داده و آن‌ها نسخه‌ی ۴.۷.۷ را برای وصله‌ی آن منتشر کردند. بنابراین به مدیران سیستم‌ها توصیه می‌شود تا هرچه سریع‌تر نرم‌افزارهای خود را به‌روزرسانی کنند.
 

منبع


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

8 − 7 =