یک محقق امنیت سایبری به نام Cardenas، بهتازگی جزئیات و اثبات مفهوم مربوط به یک آسیبپذیری وصلهنشدهی روز صفرم در phpMyAdmin را منتشر ساخته است.
phpMyAdmin یک ابزار مدیریتی رایگان و متنباز برای پایگاههای دادهی MySQL و MariaDB است که بهطور گستردهای برای مدیریت پایگاهدادهی وبسایتهایی که با WordPress، Joomla و بسیاری دیگر از بسترهای مدیریت محتوا ساخته شدهاند، استفاده میشود.
آسیبپذیری روزصفرم کشف شده در این ابزار، یک نقص جعل درخواست میان سایتی (CSRF) است ( معروف به XSRF نیز است). CSRF حملهای است که در آن مهاجمان، کاربران احرازهویتشده را به انجام عملی ناخواسته فریب میدهند.
این آسیبپذیری با شناسهی CVE-2019-12922 ردیابی میشود و از آنجاییکه به مهاجم اجازه میدهد تنها هر کارگزار پیکربندیشده در صفحهی تنظیمات پنل phpMyAdmin کارگزار قربانی را حذف کند و هر پایگاه داده یا جدول ذخیرهشده در کارگزار را نتواند حذف کند، از نظر شدت، «متوسط» رتبهبندی شده است؛ اما نباید نسبت به آن بیتفاوت هم بود. زیرا مهاجم جز دانستن URL کارگزار هدف، نیاز به اطلاعات دیگری مانند نام پایگاه داده ندارد و سوءاستفاده از آن راحت است. همهی آنچه که مهاجم برای حمله نیاز دارد این است که یک URL ساختگی را به مدیران وب هدف که قبلاً به پنل phpMyAdmin آنها در همان مرورگر وارد شدهاند، ارسال کند و آنها را فریب دهد تا کارگزار پیکربندی شده را بدون آنکه خود اطلاعی داشته باشند به سادگی و با یک کلیک بر روی آن، حذف کنند.
این نقص، تمای نسخههای phpMyAdmin تا 4.9.0.1 را که آخرین نسخه از این نرمافزار تاکنون است را تحتتأثیر قرار میدهد. همچنین این نقص در phpMyAdmin 5.0.0-alpha1 که در ماه جولای سال 2019 منتشر شده است نیز وجود دارد.
این آسیبپذیری در ماه ژوئن سال 2019 توسط Cardenas کشف و به مسئولین این پروژه گزارش شد. باوجود اینکه مسئولین این پروژه هنوز نتوانستند پس از گذشت 90 روز از اعلام وجود این نقص، آن را وصله کنند، Cardenas جزئیات این آسیبپذیری و کد اثبات مفهوم را در 13 ماه سپتامبر انتشار عمومی ساخت.
جهت رفع این آسیبپذیری، Cardenas پیشنهاد میکند که متغیر توکن در هر فراخوانی، اعتبارسنجی شود (همانطور که قبلاً در سایر درخواستهای phpMyAdmin انجام شده بود).
تا زمانی که این آسیبپذیری وصله شود، به مدیران وبسایتها شدیداً توصیه میشود از کلیککردن بر روی لینکهای مشکوک خودداری کنند.
- 11