Закрываем уязвимость PhpMyAdmin

PhpMyAdmin — наиболее распространенная тулза для администрирования MySQL и MariaDB через веб-интерфейс. Огромное множество сайтов, особенно на хостингах, имеют ее в своем составе.

И вот внезапно, в столь широко используемой и вроде протестированной вдоль и поперек штуке, обнаруживается CSRF!

Для тех, кто далек от веба: CSRF — провокация пользователя на отправку веб-запроса с параметрами, заданными хакером, из браузера пользователя. При этом используется сессия пользователя. А отправка запроса может происходить автоматически при заходе на контролируемую хакером страницу.

В данном конкретном случае CSRF позволяет удалить таблицы и данные из базы данных.

Ну ниче, жить еще можно, если есть бэкап.

Дыра пофикшена в уже выпущенной версии 4.7.7 phpMyAdmin. Но обновились еще точно не все, так что взломщики могут пошалить с публичными сайтами.

Источник https://t.me/informhardening

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40