phpMyAdmin 被發現 0-day 漏洞

資安研究人員在使用率極高的開源 MySQL 網頁管理界面 phpMyAdmin 中,發現一個中等嚴重程度的 0-day 資安濡洞,駭侵者可用以刪除受害用戶的網頁伺服器。

研究報告指出,這個 0-day 漏洞屬於典型的 CSRF 漏洞,駭侵者可以藉由發送某個特別設計的 URL 給具有管理權限,且已登入其 phpMyAdmin 系統的用戶,受者者點按該連結後,即可在受害者不知情的情形下,刪除利用 phpMyAdmin 設定的 MySQL 資料庫。

這個 0-day 漏洞雖然會刪除網頁伺服器,但並不會刪除資料庫本身或任何資料庫中的表格。

此外資安研究人員在今年六月發現此一漏洞時,立即通報給 phpMyAdmin 的維護團隊,但該團隊未能在九十天內修復此漏洞;目前該漏洞亦尚未修復。

  • CVE編號:CVE-2019-12922
  •  影響產品:phpMyAdmin 4.9.0.1 在內的各已推出版本
  • 解決方案:尚無,資料庫管理者應避免點按可疑連結

資料來源:

  1. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12922
  2. https://seclists.org/fulldisclosure/2019/Sep/23
  3. https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html?m=1
Scroll to Top