Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Zraniteľnosť v phpMyAdmin umožňuje zmazať webstránku

23.09.2019
Dňa 13.9.2019 bola publikovaná informácia o zero-day zraniteľnosti v softvéri na správu webstránok phpMyAdmin verzie 4.9.0.1 a staršej, ktorá útočníkovi umožňuje vykonať útok typu CSRF (Cross-site request forgery). Už bol zverejnený funkčný exploit ako dôkaz existencie danej zraniteľnosti.

 

Dôsledky
Neautentifikovaný útočník môže na diaľku pomocou špeciálne vytvoreného odkazu a jeho zaslaním webovému správcovi spôsobiť napríklad zmazanie danej webstránky.

Opis činnosti
CVE-2019-12922
Zraniteľnosť spočíva v nedostatočnom overení autentifikácie vstupu v aplikácii phpMyAdmin. Útočník môže vytvoriť špeciálny odkaz, ktorý spôsobí vykonanie nežiaducej operácie po tom, ako na tento odkaz klikne už autentifikovaný správca. Dôkaz existencie zraniteľnosti bol demonštrovaný zmazaním celej webovej lokality zo servera. Útočník však nemá možnosť meniť, či mazať prípadné databázy súvisiace s daným webom.

Zraniteľné systémy
phpMyAdmin 4.9.0.1 a staršie
phpMyAdmin 5.0.0-alpha 1

Závažnosť zraniteľnosti
Vysoká

Možné škody
Narušenie dostupnosti systému (Dos)

Odporúčania
Aplikovať aktualizáciu na už publikovanú ošetrenú verziu 4.9.1

Odkazy
https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12922



<< zoznam oznámení