Закрываем уязвимость PhpMyAdmin

Закрытие уязвимостей

PhpMyAdmin – наиболее распространенная тулза для администрирования MySQL и MariaDB через веб-интерфейс. Огромное множество сайтов, особенно на хостингах, имеют ее в своем составе.

И вот внезапно, в столь широко используемой и вроде протестированной вдоль и поперек штуке, обнаруживается CSRF!

Для тех, кто далек от веба: CSRF – провокация пользователя на отправку веб-запроса с параметрами, заданными хакером, из браузера пользователя. При этом используется сессия пользователя. А отправка запроса может происходить автоматически при заходе на контролируемую хакером страницу.

В данном конкретном случае CSRF позволяет удалить таблицы и данные из базы данных.

Ну ниче, жить еще можно, если есть бэкап.

Дыра пофикшена в уже выпущенной версии 4.7.7 phpMyAdmin. Но обновились еще точно не все, так что взломщики могут пошалить с публичными сайтами.

Источник https://t.me/informhardening

Добавить комментарий