单击错误的超链接可能让攻击者删除服务器
一个山谷跨站点请求伪造(CSRF.)PHPMyAdmin中的漏洞使得可以删除“设置页面”中的任何服务器。
这CVE-2019-12922PHPMyAdmin中的错误,一个自由软件工具,旨在管理Web上的MySQL管理,源于软件中的失败,以验证请求的真实性。beplay体育能用吗
此缺点允许攻击者潜行删除系统,从而提供它们能够欺骗其管理员单击Booby捕获的链接。
曼努埃尔加西亚卡登纳斯发现了发现该虫子的安全研究员和笔测试仪一个帖子到完整的披露邮件列表:“攻击者可以轻松地创建一个包含想要代表用户执行的请求的假的超链接,以这种方式使得可能一个CSRF攻击由于HTTP方法的使用错误。“
PHPMyAdmin版本最多可包括4.9.0.1 - 最新版本支持的版本 - 都是脆弱的。
每日SWbeplay2018官网IG.为了澄清Bug是否影响了他们的软件的最新版本,达到PhpMyadmin的开发人员。
我们也联系了Garcia,他确认了最新版本的软件仍然脆弱。
“开发人员尚未修补漏洞,”加西亚告诉每日SWbeplay2018官网IG.。“我在6月13日通知,7月16日再次要求......并于9月13日发布全面披露(第一次通知的90天)。”
“他们在5.0.0-alpha1中没有纠正,”他补充道。
Garcia提供了一个可能的解决方法,以“在每个调用令牌变量的验证中实现令牌变量的验证,就像其他PHPMyAdmin请求一样。”
虽然该漏洞允许干扰服务,但它不会产生远程执行型式攻击。
CSRF是一个着名的Web安全性错误,因此它在如此广泛使用的软件工beplay体育能用吗具中的外观,因为PhpMyAdmin仍然有点令人讨厌。
