یک محقق امنیت سایبری به تازگی جزئیات جدیدی را برای آسیبپذیری روز صفر در phpMyAdmin یکی از محبوب ترین برنامههای کاربردی برای مدیریت پایگاه دادههای MySQL و MariaDB منتشر کرده است.
phpMyAdmin یک ابزار مدیریت رایگان و منبع باز برای MySQL و MariaDB است که به طور گسترده برای مدیریت پایگاه داده در وبسایتهای ایجاد شده با وردپرس، جوملا و بسیاری از سیستمعاملهای مدیریت محتوا استفاده میشود.
این آسیبپذیری که توسط محقق امنیتی، Manuel Garcia Cardenas کشف شده، یک نقص جعل درخواست (CSRF) در سطح سایت است، و به عنوان XSRF نیز شناخته میشود، که نوعی حمله مشهور است که در آن مهاجمان کاربران را وادار به انجام یک عمل ناخواسته میکنند.
به دلیل محدود بودن، این نقص با شناسه CVE-2019-12922 شناخته شده و دارای امتیاز متوسطی است که تنها به یک مهاجم اجازه میدهد تا سرورهایی را که در صفحه پنل phpMyAdmin در سرور قربانی تنظیم شده است، حذف نماید.
لازم به ذکر است، این چیزی نیست که زیاد نگران آن نباشید، زیرا این حمله به مهاجمان اجازه حذف هر بانک اطلاعاتی یا جدول ذخیره شده بر روی سرور را نخواهد داد.
بحث آسیبپذیری برای سوءاستفاده بسیار مهم است، زیرا غیر از دانستن URL در سرور مورد هدف، یک مهاجم نیازی به دانستن اطلاعات دیگری مانند نام پایگاه دادهها ندارد.