phpMyAdmin, l'une des applications les plus utilisées pour la gestion de la base de données MySQL, a été trouvé pour contenir une faille de sécurité grave. Cette vulnérabilité pourrait permettre l'accès à distance aux attaquants en leur permettant d'effectuer des opérations de base de données douteuses en leurrant admins en cliquant sur un lien spécialement conçu.
Cela rend la vulnérabilité d'une contrefaçon de demande intersite (XSRF) un et il affecte les versions antérieures à la version phpMyAdmin 4.7.7, ce qui signifie que les versions antérieures à 4.7.0 ne sont pas affectés. Le défaut auquel le CVE-2017-1000499 nombre a été mis au jour par le chercheur en sécurité Ashutosh Barot.
CVE-2017-1000499 En détail
Cette vulnérabilité pourrait être déclenchée “en trompant un utilisateur à cliquer sur une URL conçu", qui peut conduire à l'exécution des opérations de base de données nocives telles que la suppression d'enregistrements, Abandonner / tables troncature, et autres choses de ce genre.
Selon le chercheur lui-même, “si un utilisateur exécute une requête sur la base de données en cliquant sur Insérer, LAISSEZ TOMBER, etc. boutons, l'URL contient le nom de la base de données et le nom de table.» L'exploitation active de cette faille peut conduire à différents résultats tels que la divulgation d'informations sensibles. Cette divulgation est possible parce que l'URL est stockée à différents endroits comme l'historique du navigateur, journaux SIEM, journaux du pare-feu, journaux ISP, parmi d'autres.
La vulnérabilité est très dangereux. Tout d'abord, phpMyAdmin est un outil d'administration gratuit et open-source pour MySQL et MariaDB. Il est populaire et largement utilisé pour gérer les bases de données de sites Web créés via des plates-formes CMS telles que WordPress et Joomla.. En outre, fournisseurs d'hébergement sont également connus pour utiliser phpMyAdmin pour un moyen facile d'organiser les bases de données clients.
Le chercheur qui a découvert CVE-2017-1000499 également démontré dans une vidéo comment un pirate informatique à distance peut duper les admins de base de données dans la suppression d'une table entière de la DB en cliquant sur un lien spécialement conçu.
Une caractéristique de phpMyAdmin utilisait une requête GET et après cette demande POST pour les opérations de base de données telles que DROP TABLE nom_table; GET demandes doivent être protégées contre les attaques CSRF. Dans ce cas, Les requêtes POST ont été utilisées qui ont été envoyés par URL (à des fins de partage de signets peut être); il était possible pour un attaquant à tromper un administrateur de base de données en cliquant sur un bouton et d'effectuer une requête de base de données de table déroulante de choix de l'attaquant.
Heureusement, il est pas facile à exploiter CVE-2017-1000499 et pour mener à bien une attaque CSRF que l'attaquant doit connaître le nom de la base de données ciblée et d'une table.
Le chercheur a rapporté CVE-2017-1000499 aux développeurs de phpMyAdmin qui étaient assez rapides pour confirmer la faille et l'aborder dans phpMyAdmin 4.7.7. Si vous croyez que vous pouvez être affecté par le défaut, il est fortement conseillé de mettre à jour à la dernière version.