کشف آسیب‌پذیری خطرناک در phpMyAdmin

به‌تازگی یک آسیب‌پذیری حیاتی در برنامه کاربردی phpMyAdmin، برنامه مدیریت پایگاه داده MySQL شناسایی‌شده است که به مهاجمان اجازه اجرای هرگونه عملیات مخرب را در پایگاه داده می‌دهد.

به گفته محقق امنیتی هندی Ashutosh Barot، مهاجمان می‌توانند از طریق آسیب‌پذیری phpMyAdmin و فریب ادمین جهت کلیک روی یک لینک مخرب، روی پایگاه داده عملیات مخربی از جمله حذف رکورد، حذف و ِکوتاِه کردن جدول انجام دهند.

گفتنی است phpMyAdmin نوعی ابزار رایگان متن‌باز مدیریتی برای MySQL و MariaDB است که در سطح گسترده‌ای استفاده می‌شود. در واقع این ابزار برای مدیریت پایگاه داده، وب‌سایت‌های طراحی شده از طریق ورد پرس، جومولا و دیگر پلت فرم‌های مدیریت محتوا به کار گرفته می‌شود. باید گفت تمام نسخه‌های ماقبل ۴.۷.۷ این برنامه آسیب‌پذیر می‌باشند.

علاوه بر این بسیار زیادی از ارائه‌دهندگان میزبانی،  phpMyAdmin را به مشتریان خود به‌عنوان ابزاری راحت و مناسب  برای سازمان‌دهی دیتابیس معرفی می‌کنند.

این آسیب‌پذیری نوعی CSRF یا جعل اجرای درخواست بین سایتی است که در آن مهاجم با سو استفاده از کاربر و مرورگر احراز هویت شده و فریب کاربر، وی را مجبور به اجرای اقدامی ناخواسته می‌کند.

البته باید گفت اجرای این حمله آن‌طور که به نظر می‌رسد ساده نبوده و برای ساخت URL در حمله CSRF ، مهاجم باید از نام پایگاه داده و جدول هدف آگاه باشد.

محقق مذکور همچنین کشف کرده است، URL اجرای عملیات پایگاه داده در حافظه مرورگر ذخیره شده که مهاجم با دسترسی به آن‌ها می‌تواند اطلاعاتی در مورد پایگاه داده به دست آورد.

لازم به ذکر است گزارش این آسیب‌پذیری از سوی  Barot  به توسعه‌دهندگان PHPMyAdmin داده شده که فوراً بعد از آن نسخه ۴.۷.۷ این ابزار وصله شده منتشرشده است، لذا به تمام ادمین های سفارش اکید می‌شود در اولین فرصت برنامه خود را به روز رسانی کنند.

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *