ثغرة CSRF على phpMyAdmin

ثغرة CSRF على phpMyAdmin
    اكتشاف ثغرة من نوع CSRF على نظام ادارة قواعد البيانات الشهير phpMyAdmin, 
    تم الابلاغ على ثغرة جديدة على phpMyAdmin و يعتبر phpMyAdmin واحد من افضل التطبيقات على الاطلاق ل  لإدارة قاعدة بيانات MySQL, و تسمح الثغرة ب التعديل و الحذف على الجداول الموجودة ب قاعدة البيانات و يتم هاذا عن طريق خداع الادمن او مشرفي المواقع على الضغط على رابط و الرابط يقوم ب عملية خبيثة على قاعدة البيانات .
     و تم اكتشاف الشغرة من طرف باحثين في الأمن المعلوماتي من الهند  Ashutosh Barot, و الثغرة عبارة عن cross-site request forgery (CSRF)  و الاصدار المصاب هو phpMyAdmin versions 4.7.x  و تم اصلاح الثغرة في الاصدار الجديد 4.7.7 .

     و لكي يتم استغلال ثغرات Cross-site request forgery او ما تعرف ب XSRF يجب ان يقوم المهاجم ب خداع الضحية و يجبره على الضغط على احد الروابط الخبيثة و التي قد تأدي الى عواقب وخيمة مثل التعديل على الجداول او حذفها .... الخ .
    و بحسب تصريحات المسؤولين على phpMyAdmin : "من خلال خداع المستخدم  و اجباره على النقر على رابط خبيث ، فمن الممكن أداء عمليات على  قاعدة البيانات دون ان تشعر  مثل حذف السجلات، dropping / اقتطاع الجداول، وما إلى ذلك".
    و يتم اسخدام phpMyAdmin في ملايين المواقع من جميع انحاء العالم و يت استخدامه على العديد من انظمة ادارة المحتوى مثل ورد برس و جوملا و الكثير من انظمة ادارة المحتوى الأخرى, وعلاوة على ذلك، تقوم الكثير من الاستضافات ب تقديم phpMyAdmin ك خدمة لعملائها ل ادارة قواعد البيانات الخاصة بهم.



    و كما تشاهد ب الفيديو ب الاعلى و الذي تم نشره من قبل Barot , فانه تم حذف احد الجداول الموجودة ب قاعدة البيانات ب مجرد الضغط على الرابط .
    و يرجى الملاحضة ان استغلال الثغرة ليس ب الامر السهل ابدا لانه يجب على المهاجم ان يقوم ب ايجاد اسم قاعدة الباينات للضحية لكي يقوم ب بناء رابط خبيث.
    ان كنت من مستخدمي phpMyAdmin على موقعك او شركتك فيجب عليك ان تقوم ب الترقية الى الاصدار  4.7.7  الذي تم اصلاح الثغرة به .
    المرجع 
    https://www.phpmyadmin.net/security/PMASA-2017-9/

    إرسال تعليق

    اعلان