XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > PhpMyAdmin-də boşluq üçün eksployt dərc edilib.

19 Sen 2019

Təhlükəsizlik sahəsində tədqiqatçı Manuel Qarsiya Kardenas (Manuel Garcia Cardenas)  phpMyAdmin tətbiqində boşluqla bağlı ətraflı məlumatı və PoC-kodunu dərc edib. Boşluq saytlararası sorğuların saxtalaşdırılması  ilə əlaqəlidir və onun istismarı cinayətkarlara qeydiyyatdan keçən istifadəçiləri yalanla serveri silməyə vadar etməyə imkan verir. Aşkar olunan boşluq ( CVE-2019-12922 ) cinayətkara qurbanın phpMyAdmin panelində quraşdırılan istənilən serveri silməyə imkan verir. Cinayətkar sadəcə hazırlanmış URL-ünvanını phpmyAdmin panelində qeydiyyatdan keçən hədəf veb-inzibatçılarına göndərməli və onları tənzimləmələr səhifəsində konfiqurasiya olunmuş serveri yalanla silməyə vadar etməlidir. “Cinayətkar istifadəçinin adından göndərilən sorğunu ehtiva edən saxta hiperkeçidi asanlıqla yaratmaqla HTTP metodunun yanlış istifadəsinə görə CSRF hücumu üçün imkan yaradır” – deyə Kardenas izah edib. Bu boşluq sonuncu 4.9.0.1 versiyasınadək phpMyAdmin versiyalarına, həmçinin 2019-cu ilin iyul ayında buraxılan phpMyAdmin 5.0.0-alpha1 yığmasına toxunur. Boşluğun hələ 2019-cu ilin iyun ayında aşkar olunmasına baxmayaraq, 90 gün sonra tərtibatçılar onu düzəltməyə hələ də müvəffəq olmayıb.

 PhpMyAdmin - WordPress, Joomla və s. vasitəsilə yaradılan veb-saytlar üçün verilənlər bazasının idarə olunması məqsədilə geniş istifadə olunan, MySQL və MariaDB üçün açıq ilkin kodla pulsuz inzibatlaşdırma vasitəsidir.