YunTech
:::
您現在的位置:首頁 arrow NEWS arrow phpMyAdmin 被發現 0-day 漏洞

  phpMyAdmin 被發現 0-day 漏洞
張貼日期:2019-09-25  

貼到Twitter 貼到Facebook   貼到Plurk  

phpMyAdmin 被發現 0-day 漏洞

    發佈日期:2019-09-19 CVE 編號:CVE-2019-12922

資料來源:TWCERT

全文出處:https://www.twcert.org.tw/subpages/securityInfo/loophole_details.aspx?id=5107

摘要:

資安研究人員在使用率極高的開源 MySQL 網頁管理界面 phpMyAdmin 中,發現一個中等嚴重程度的 0-day 資安濡洞,駭侵者可用以刪除受害用戶的網頁伺服器。
影響產品:

    phpMyAdmin 4.9.0.1 在內的各已推出版本

解決辦法:

研究報告指出,這個 0-day 漏洞屬於典型的 CSRF 漏洞,駭侵者可以藉由發送某個特別設計的 URL 給具有管理權限,且已登入其 phpMyAdmin 系統的用戶,受者者點按該連結後,即可在受害者不知情的情形下,刪除利用 phpMyAdmin 設定的 MySQL 資料庫。


此 0-day 漏洞雖然會刪除網頁伺服器,但並不會刪除資料庫本身或任何資料庫中的表格。

此外資安研究人員在今年六月發現此一漏洞時,立即通報給 phpMyAdmin 的維護團隊,但該團隊未能在九十天內修復此漏洞;目前該漏洞亦尚未修復。

 

    解決方案:尚無,資料庫管理者應避免點按可疑連結

參考連結:

    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12922
    https://seclists.org/fulldisclosure/2019/Sep/23
    https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html?m=1