PhpMyAdmin – наиболее распространенная тулза для администрирования MySQL и MariaDB через веб-интерфейс. Огромное множество сайтов, особенно на хостингах, имеют ее в своем составе.
И вот внезапно, в столь широко используемой и вроде протестированной вдоль и поперек штуке, обнаруживается CSRF!
Для тех, кто далек от веба: CSRF – провокация пользователя на отправку веб-запроса с параметрами, заданными хакером, из браузера пользователя. При этом используется сессия пользователя. А отправка запроса может происходить автоматически при заходе на контролируемую хакером страницу.
В данном конкретном случае CSRF позволяет удалить таблицы и данные из базы данных.
Ну ниче, жить еще можно, если есть бэкап.
Дыра пофикшена в уже выпущенной версии 4.7.7 phpMyAdmin. Но обновились еще точно не все, так что взломщики могут пошалить с публичными сайтами.
Источник https://t.me/informhardening
