CVE-2019-12922:phpMyAdmin 0 Day漏洞
安全研究人員Manuel Garcia Cardenas近日公佈了最常用的管理MySQL和MariaDB資料庫的應用程式phpMyAdmin中的0 day漏洞細節和PoC。
phpMyAdmin是一個用PHP編寫的免費軟體工具,也是用於處理MySQL或MariaDB資料庫伺服器的開源管理工具。phpMyAdmin被廣泛用於管理用WordPress, Joomla等內容管理平臺的網站的資料庫。
安全研究人員稱該漏洞實際上是一個CSRF漏洞,也叫做XSRF漏洞。即攻擊者可以誘使認證的用戶來執行惡意行為。
該漏洞CVE編號為CVE-2019-12922,攻擊者利用該漏洞來刪除受害者伺服器上的phpMyAdmin面板上的設置頁面中配置的任意伺服器。但該攻擊並不允許攻擊者刪除伺服器上保存的資料庫或表。
而攻擊者只需要發送一個偽造的URL到目標web管理員,要求web管理員已經用相同的流覽器登入phpmyAdmin面板,這樣就可以誘使用戶通過點擊來刪除配置的伺服器。Cardenas解釋說,攻擊者在偽造的URL中含有想要由用戶執行的請求,這樣由於錯誤使用HTTP方法使用CSRF攻擊成為可能。
該漏洞利用起來非常容易,因為攻擊者只需要知道目標伺服器的URL就可以了,並不需要瞭解其他任何資訊,包括資料庫的name。
PoC
利用該CSRF漏洞來刪除伺服器的PoC代碼:
<p>Deleting Server 1</p>
<img src=” http://server/phpmyadmin/setup/index.php?page=servers&mode=remove&id=1″ style=”display:none;” />
該漏洞影響所有的phpMyAdmin版本,包括最新的4.9.0.1版本和今年7月發佈的phpMyAdmin 5.0.0-alpha1。
研究人員其實早在2019年6月就發現了該漏洞,並很快提交該漏洞到了專案維護人員。但phpMyAdmin專案維護人員沒有在90天修復該漏洞,因此研究人員決定公開該漏洞的詳解和PoC代碼。
研究人員建議用戶通過在每次調用中實現權杖變數的驗證來解決該漏洞,其他的phpMyAdmin請求也是這樣做的。
