CSRF भेद्यता phpMyAdmin 4.7.x में हमलावरों को दुर्भावनापूर्ण URL के माध्यम से रिकॉर्ड हटाने की अनुमति देता है

CSRF भेद्यता phpMyAdmin 4.7.x में हमलावरों को दुर्भावनापूर्ण URL के माध्यम से रिकॉर्ड हटाने की सुविधा देता है

सुरक्षा / CSRF भेद्यता phpMyAdmin 4.7.x में हमलावरों को दुर्भावनापूर्ण URL के माध्यम से रिकॉर्ड हटाने की सुविधा देता है 1 मिनट पढ़ा

एक क्रॉस-साइट रिक्वेस्ट फॉरगेरी (CSRF) भेद्यता phpMyAdmin संस्करण 4.7.x (संस्करण 4.7.7 से पहले) में मिली है जिसके माध्यम से दुर्भावनापूर्ण हमलावर दुर्भावनापूर्ण रूप से तैयार किए गए URL पर क्लिक करके उपयोगकर्ताओं को धोखा देकर मौलिक डेटाबेस संचालन करने में सक्षम हैं। इस भेद्यता को CVE पहचान लेबल CVE-2017-1000499 के तहत संयोजित किया गया है जो कि पिछले CSRF कमजोरियों को phpMyAdmin में भी सौंपा गया था।

के तहत चार नवीनतम परिवर्धन हैं CVE-2017-1000499 CSRF भेद्यता छाता। इन चार में एक मौजूदा उपयोगकर्ता पासवर्ड संशोधन भेद्यता, एक मनमाना फ़ाइल लेखन भेद्यता, DNS संचार श्रृंखला भेद्यता पर एक डेटा पुनर्प्राप्ति, और सभी तालिकाओं की भेद्यता से खाली सभी पंक्तियों को शामिल किया गया है। जैसा कि phpMyAdmin MySQL के प्रशासन पक्ष से संबंधित है, इन चार कमजोरियों ने पूरे डेटाबेस को उच्च जोखिम में डाल दिया, जिससे एक दुर्भावनापूर्ण उपयोगकर्ता को पासवर्ड बदलने, डेटा का उपयोग करने, डेटा को हटाने और कोड निष्पादन के माध्यम से अन्य आदेशों को पूरा करने की अनुमति मिलती है।

चूंकि MySQL एक सामान्य रूप से खुला स्रोत रिलेशनल डेटाबेस प्रबंधन प्रणाली है, इसलिए इन कमजोरियों (अनगिनत अन्य CVE-2017-100049 CSRF कमजोरियों के साथ), सॉफ्टवेयर के अनुभव से समझौता करते हैं, जिसे कई उद्यमों द्वारा विशेष रूप से उपयोग करने के लिए आसान तरीके से अपनाया गया है। और प्रभावी इंटरफ़ेस।

CSRF हमलों के कारण एक अनजाने उपयोगकर्ता को एक आदेश जारी करना पड़ता है जो एक दुर्भावनापूर्ण हमलावर उस पर क्लिक करके उसे आगे बढ़ने की अनुमति देता है। उपयोगकर्ताओं को आमतौर पर यह सोचने के लिए छल किया जाता है कि अनुमति के लिए पूछने वाला एक विशेष आवेदन स्थानीय रूप से एक सुरक्षित स्थान पर संग्रहीत है या डाउनलोड की जा रही फ़ाइल है जो यह शीर्षक में बी का दावा करती है। इस प्रकार के दुर्भावनापूर्ण रूप से बनाए गए URL उपयोगकर्ताओं को हमलावर के इच्छित आदेशों को अनजाने में सिस्टम से समझौता करने का कारण बनाते हैं।

हत्यारे के पंथ की उत्पत्ति दुर्घटनाग्रस्त होती रहती है

यह भेद्यता है विक्रेता को पता है और यह स्पष्ट है कि उपयोगकर्ता को उपयोगकर्ता के स्वयं के समझौते पर रोका नहीं जा सकता है यही कारण है कि इसे जारी करने के लिए phpMyAdmin सॉफ़्टवेयर के लिए एक अपडेट की आवश्यकता होती है। यह दोष 4.7.7 से पहले के 4.7.x संस्करणों में मौजूद है, जिसका मतलब है कि अभी भी पुराने संस्करणों का उपयोग करने वालों को तुरंत चाहिए उन्नयन इस महत्वपूर्ण ग्रेड भेद्यता को कम करने के लिए नवीनतम संस्करण के लिए।